Skype “Mobile Phone”字段HTML注入漏洞

发布日期:2011-08-01
更新日期:2011-08-01

受影响系统:
Skype Skype 5.x
Skype Skype 4.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 48951

Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。

Skype在Mobile Phone字段的处理上存在HTML注入漏洞,远程攻击者可利用此漏洞在受影响浏览器中执行HTML和脚本代码,窃取Cookie验证凭证或控制网站外观。

此漏洞源于"mobile phone"配置文件条目缺少输入验证和输出过滤。

<*来源:noptrix
 
  链接:
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

"><iframe src='' onload=alert('mphone')>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Skype
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wwxdyw.html