SR08-019 Skype - 'Cross-Zone Scripting' sårbarhet

Skype har en sårbarhet som kan leda till att kod exekveras på ett sårbart system.

Problembeskrivning

CVE-referens: CVE-2007-5989

Aviv Raff och Miroslav Luinskij har identifierat en sårbarhet i Skype. Sårbarheten beror på att Skype använder sig av Internet Explorer för att rendrera html-sidor. Dessa html-sidor körs i Internet Explorers lokala säkerhetszon och alla eventuella script således att exekveras.

Det enklaste sättet att utnyttjas denna sårbarhet är att använda sig av Skypes funktioner för ladda upp dela med sig av videoklipp. Då det inte finns någon säkerhetsuppdatering som åtgärdar problemet, har Skype tillfälligt stängt av användarnas möjlighet till att lägga till videoklipp från 'Skype Dailymotion'.

Påverkade versioner

• Skype 3.6.*
• Skype 3.5.*

Mer information och programrättningar

http://www.skype.com/security/skype-sb-2008-001.html
http://www.securityfocus.com/bid/27338
http://aviv.raffon.net/2008/01/17/SkypeCrosszoneScriptingVulnerability.aspx
http://www.youtube.com/watch?v=FcuQrLZ4AU0
http://seclists.org/fulldisclosure/2008/Jan/0328.html