漏洞起因
输入验证错误
危险等级
低
影响系统
Skype Technologies Skype 4.2 169
Skype Technologies Skype 4.2 155
Skype Technologies Skype 4.2 152
Skype Technologies Skype 4.1 .179
Skype Technologies Skype 4.1 .179
Skype Technologies Skype 4.1 .166
Skype Technologies Skype 4.1 .141
Skype Technologies Skype 4.1 .136
Skype Technologies Skype 4.1 .130
Skype Technologies Skype 4.0 .227
Skype Technologies Skype 4.0 .226
Skype Technologies Skype 4.0 .224
Skype Technologies Skype 4.0 .216
Skype Technologies Skype 4.0 .215
Skype Technologies Skype 4.0 .206
Skype Technologies Skype 5.5.0.113
Skype Technologies Skype 5.5
Skype Technologies Skype 5.4
Skype Technologies Skype 5.3.0.120
Skype Technologies Skype 5.3
Skype Technologies Skype 5.0.0.105
Skype Technologies Skype 4.2.0.166
Skype Technologies Skype 4.2.0.163
Skype Technologies Skype 4.2.0.158
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
攻击所需条件
攻击者必须访问Skype用户。
漏洞信息
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype不正确过滤下面用户信息条目中的输入和输出:
– home
– office
– mobile
攻击者可以进行跨站脚本攻击,可能获得敏感信息或劫持用户会话。
测试方法
— SNIP —
Home Phone Number:
<b>INJECTION HERE</b>
Office Phone Number:
<center><i>INJECTION HERE</i></center>
Mobile Phone Number:
<a href="#">INJECTION HERE</a>
— SNIP —
演示:
– http://www.noptrix.net/tmp/skype_inject.png
厂商解决方案
目前没有详细解决方案提供:
http://www.skype.com/
漏洞提供者
Levent ‘noptrix’ Kayan
0 条评论。