Niemiecka firma Noptrix, która specjalizuje się w bezpieczeństwie IT, ostrzega o luce w komunikatorze Skype pozwalającej na wykonanie ataku XSS.
Dziura została odkryta w Skype 5.5.0.113 dla Windows. Podczas rozmowy sesja telefoniczna jest wrażliwa na wstrzyknięcie potencjalnie niebezpiecznego kodu. Możliwość dokonania ataku XSS na Skype jest efektem błędu weryfikacji podanego przez użytkownika numeru telefonu na poziomie klienta VoIP (Voice over IP) w tej wersji Skype. Według analizy firmy Noptrix, do numeru telefonu może zostać dołączony złośliwy kod w JavaScript zawierający komendy pozwalające na przejęcie kontroli nad dziurawym komunikatorem. Na razie nie udało się ustalić, czy za pośrednictwem luki w kliencie VoIP można dostać się do systemu operacyjnego i dokonać szerszego spustoszenia.
Firma Skype została powiadomiona o błędzie, ale według serwisu The Register, zdaniem producenta komunikatora nie jest niebezpieczna. Brianna Reynaud, rzeczniczka Skype, napisała w e-mailu do The Register, że pracownik firmy Noptrix się myli i luka pozwala na zmianę numeru w hiperłącze, ale nic ponadto. Jednak odkrywca luki upiera się przy swoim. Jego zdaniem jeśli atakujący są w stanie zmienić numer w odnośnik, mogą umieścić w komunikatorze ofiary łącze do złośliwej strony. Co więcej, złośliwy kod można przesłać do komunikatora za pośrednictwem spreparowanego profilu użytkownika Skype, w którym zamiast numeru telefonu znajduje się odnośnik do strony lub skrypt JavaScript.
Luka tego typu może zostać wykorzystana również do przygotowania skryptu-robaka, który będzie się samodzielnie replikował na profilach użytkowników za pośrednictwem listy kontaktów pierwszej ofiary. W podobnej sytuacji był Skype dla Mac OS X w maju, ale nie zaobserwowano aby tamta luka została praktycznie wykorzystana.
Skype już zapowiedział wydanie łatki dla komunikatora na początku przyszłego tygodnia. Poprawka nie będzie wymagała aktualizacji komunikatora.