Tìm thấy lỗ hổng nghiêm trọng trong Skype
Một nhà tư vấn bảo mật thông báo cho Skype về lỗ hổng XSS có thể bị sử dụng để thay đổi mật khẩu trên tài khoản. Skype cho biết sẽ phát hành bản sửa lỗi vào tuần tới.
Nhà tư vấn Levent Kayan (sống tại Berlin, Đức) đã đăng chi tiết về lỗ hổng này trên blog của mình hôm thứ Tư 13/7/2011 và 1 ngày sau đó đã thông báo cho Skype. Hôm thứ Sáu 15/7/2011, ông cho biết vẫn chưa nghe thấy một phản ứng nào.
Vấn đề nằm trong trường (field) mà người sử dụng có thể nhập vào số ĐTDĐ của họ. Ông Kayan đã viết rằng, tin tặc có thể chèn JavaScript vào trường ĐTDĐ trong hồ sơ của người dùng.
Khi một trong những địa chỉ liên lạc (contact) của chúng online, hồ sơ của tin tặc sẽ được cập nhật, và JavaScript sẽ được thực hiện khi contact khác đăng nhập.
Ông Kayan đã viết rằng, phiên liên lạc của người khác có thể bị tấn công, và tin tặc có thể giành quyền kiểm soát máy tính của người đó. Kẻ tấn công cũng có thể thay đổi mật khẩu trên tài khoản của một ai đó.
Có một số yếu tố giảm nhẹ, chẳng hạn như kẻ tấn công và nạn nhân phải là bạn bè trên Skype. Ngoài ra, tấn công có thể không thực hiện ngay lập tức khi nạn nhân đăng nhập.
Kayan cho biết, ông nhận thấy hành vi xảy ra chỉ sau khi nạn nhân đăng nhập nhiều lần. Tuy nhiên, trong một e-mail ông cho biết, một khi nó đã xảy ra lần đầu tiên, “nó sẽ xảy ra với mỗi lần đăng nhập lại”.
Skype xác nhận, vấn đề ảnh hưởng đến phiên bản mới nhất - Skype 5.3.0.120 - trên các hệ điều hành Windows 7, Vista, XP cũng như Mac OS X.

- Thêm một lỗ hổng nghiêm trọng trong Linux
- Vá lỗ hổng nghiêm trọng trong RealPlayer
- Sun vá lỗ hổng nghiêm trọng trong Java
- RealNetworks bịt lỗ hổng nghiêm trọng trong RealPlayer
- Phát hiện lỗ hổng nghiêm trọng trong MySQL
- Sun bít lỗ hổng nghiêm trọng trong Java
- Google bịt lỗ hổng nghiêm trọng trong Gmail
-
15 bài thơ về Tết cho trẻ hay và ý nghĩa
-
10 cách tận dụng các router không dây cũ
-
Các cách tắt nguồn iPhone thông dụng
-
Phân luồng traffic theo CDN tối ưu trải nghiệm website cho mọi thị trường mục tiêu
-
DD-WRT, Tomato và OpenWrt - Đâu là firmware router tốt nhất?
-
Cách chơi Shyvana DTCL 4.5, lên đồ Shyvana DTCL 4.5
-
6 cách ngăn chặn Drive-by Download
-
8 mẹo SEO ảnh để tăng truy cập từ công cụ tìm kiếm
-
Samsung trình làng các mẫu thẻ nhớ SD EVO Plus và PRO Plus mới, đáp ứng nhu cầu đối với mọi tác vụ chuyên nghiệp
-
Cách cài ứng dụng từ xa lên điện thoại Android
-
Những chiếc tai nghe đắt nhất thế giới
-
Hướng dẫn tăng dung lượng ổ cứng ảo trên Virtualbox