Tìm thấy lỗ hổng nghiêm trọng trong Skype

Một nhà tư vấn bảo mật thông báo cho Skype về lỗ hổng XSS có thể bị sử dụng để thay đổi mật khẩu trên tài khoản. Skype cho biết sẽ phát hành bản sửa lỗi vào tuần tới.

Nhà tư vấn Levent Kayan (sống tại Berlin, Đức) đã đăng chi tiết về lỗ hổng này trên blog của mình hôm thứ Tư 13/7/2011 và 1 ngày sau đó đã thông báo cho Skype. Hôm thứ Sáu 15/7/2011, ông cho biết vẫn chưa nghe thấy một phản ứng nào.

Vấn đề nằm trong trường (field) mà người sử dụng có thể nhập vào số ĐTDĐ của họ. Ông Kayan đã viết rằng, tin tặc có thể chèn JavaScript vào trường ĐTDĐ trong hồ sơ của người dùng.

Khi một trong những địa chỉ liên lạc (contact) của chúng online, hồ sơ của tin tặc sẽ được cập nhật, và JavaScript sẽ được thực hiện khi contact khác đăng nhập.

Ông Kayan đã viết rằng, phiên liên lạc của người khác có thể bị tấn công, và tin tặc có thể giành quyền kiểm soát máy tính của người đó. Kẻ tấn công cũng có thể thay đổi mật khẩu trên tài khoản của một ai đó.

Có một số yếu tố giảm nhẹ, chẳng hạn như kẻ tấn công và nạn nhân phải là bạn bè trên Skype. Ngoài ra, tấn công có thể không thực hiện ngay lập tức khi nạn nhân đăng nhập.

Kayan cho biết, ông nhận thấy hành vi xảy ra chỉ sau khi nạn nhân đăng nhập nhiều lần. Tuy nhiên, trong một e-mail ông cho biết, một khi nó đã xảy ra lần đầu tiên, “nó sẽ xảy ra với mỗi lần đăng nhập lại”.

Skype xác nhận, vấn đề ảnh hưởng đến phiên bản mới nhất - Skype 5.3.0.120 - trên các hệ điều hành Windows 7, Vista, XP cũng như Mac OS X.