发布日期:2011-08-01
更新日期:2011-08-01
受影响系统:
Skype Skype 5.x
Skype Skype 4.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 48951
Skype是一款流行的P2P VoIP软件,可提供高质量的语音通讯服务。
Skype在Mobile Phone字段的处理上存在HTML注入漏洞,远程攻击者可利用此漏洞在受影响浏览器中执行HTML和脚本代码,窃取Cookie验证凭证或控制网站外观。
此漏洞源于"mobile phone"配置文件条目缺少输入验证和输出过滤。
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
"><iframe src='' onload=alert('mphone')>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Skype
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: