Skype “Mobile Phone”字段HTML注入漏洞

发布日期：2011-08-01
更新日期：2011-08-01受影响系统：
Skype Skype 5.x
Skype Skype 4.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 48951Skype是一款流行的P2P VoIP软件，可提供高质量的语音通讯服务。Skype在Mobile Phone字段的处理上存在HTML注入漏洞，远程攻击者可利用此漏洞在受影响浏览器中执行HTML和脚本代码，窃取Cookie验证凭证或控制网站外观。此漏洞源于"mobile phone"配置文件条目缺少输入验证和输出过滤。<*来源：noptrix

链接：http://www.noptrix.net/advisories/skype_xss.txt
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！"><iframe src="" onload=alert（"mphone"）>建议：
--------------------------------------------------------------------------------
厂商补丁：Skype
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.skype.com/Red Hat Linux Kernel VLAN报文处理远程拒绝服务漏洞IBM Lotus Symphony多个拒绝服务漏洞和不明细节漏洞相关资讯 Skype

Skype 将不再支持旧版本 iOS、（07月21日）
Skype Bots现已登陆Mac和Web平台（04月20日）
微软正在开发跨平台通用版的 Skype （03月26日）

Skype发布新的Linux客户端（07月14日）
无需浏览器插件就可以运行 Skype （04月17日）
Skype将默认屏蔽IP，保护游戏玩家（01月24日）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论