Skype ‘Mobile Phone’字段HTML注入漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
Skype Technologies Skype 4.2 169
 Skype Technologies Skype 4.2 155
 Skype Technologies Skype 4.2 152
 Skype Technologies Skype 4.1 .179
 Skype Technologies Skype 4.1 .179
 Skype Technologies Skype 4.1 .166
 Skype Technologies Skype 4.1 .141
 Skype Technologies Skype 4.1 .136
 Skype Technologies Skype 4.1 .130
 Skype Technologies Skype 4.0 .227
 Skype Technologies Skype 4.0 .226
 Skype Technologies Skype 4.0 .224
 Skype Technologies Skype 4.0 .216
 Skype Technologies Skype 4.0 .215
 Skype Technologies Skype 4.0 .206
 Skype Technologies Skype 5.3.0.120
 Skype Technologies Skype 5.3
 Skype Technologies Skype 5.0.0.105
 Skype Technologies Skype 4.2.0.166
 Skype Technologies Skype 4.2.0.163
 Skype Technologies Skype 4.2.0.158
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
 
攻击所需条件
攻击者必须构建恶意链接,诱使用户解析。
 
漏洞信息
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype对"mobile phone"字段缺少正确的输入校验和输出过滤,可导致跨站脚本攻击,攻击者构建恶意链接,诱使用户解析,可获得敏感信息或劫持用户会话。
 
测试方法
http://www.noptrix.net/tmp/skype_xss.png
http://www.youtube.com/watch?v=eIgb9D-0DWs
 
厂商解决方案
目前没有详细解决方案提供:
http://www.skype.com/
 
漏洞提供者
noptrix