Немецкий ИТ-консультант Левент Каян в своем блоге (http://www.noptrix.net/advisories/skype_xss.txt) говорит, что он обнаружил проблему в среду, а в четверг уведомил о ней Skype. По его словам, проблема заключается в ошибке скрипта, обрабатывающем поле для ввода мобильного телефона пользователя. Каян написал небольшой скрипт, который можно вставить в поле ввода мобильного телефона.
Когда один из пользователей в контакт-листе выходит в онлайн, злонамеренный пользовательский профиль обновляется и JavaScript позволяет обновить данные другого пользователя. Таким образом пользователь может сменить чей-либо пароль в Skype или изменить какие-либо другие данные.
Впрочем, у атаки есть и некоторые сложности. Одна из них заключается в том, что пользователи должны находиться в контакт-листах друг друга, кроме того атака не всегда срабатывает, когда жертва выходит в онлайн, иногда жертве приходится несколько раз выходить и заходить в Skype. Однако в конечном итоге уязвимость все-таки срабатывает, говорит эксперт.
По словам Каяна, Skype необходимо ужесточить проверку входящих параметров в поле мобильного телефона и запретить там выполнение любого исполняемого кода. Известно, что баг присутствует в последней версии Skype под Windows и Mac.
