| ثغرة XSS خطيرة في Skype قد تؤدي لسرقة الحساب |
| الكاتب عبدالمهيمن الآغا |
| الجمعة, 15 يوليو 2011 14:31 |
|
إكتشاف ثغرة XSS خطيرة في برنامج Skype للمحادثة تمكن المهاجم من تشغيل كود جافاسكريبت بجهاز الشخص المستهدف مما قد يؤدي لسرقة حسابه عن طريق سحب الكوكيز أو حتى إختراق الجهاز كاملاً في بعض الحالات.
في خبر نشر في موقع H-Online إكتشف أحد الباحثين الأمنيين Levent Kayan ثغرة خطيرة في برنامج Skype من نوع XSS أصابت الإصدار 5.3.0.120 وما قبله من برنامج سكايب الخاص بأنظمة ويندوز كذلك الإصدار 10.6.8 وما قبله في نظام Mac OS X. الإصدار الخاص بأنظمة GNU/Linux غير مصاب بهذه الثغرة. تمكن الثغرة المهاجم من حقن كود جافاسكريبت مكان رقم الموبايل مما يؤدي لتشغيله في أجهزة الأشخاص الموجودين في قائمة المتصلين بشكل تلقائي. تشغيل كود جافاسكريبت يعني وصول للكوكيز مما قد يؤدي لسرقة الحساب أو ما يعرف بـ Session hijacking أو الأسوء جعل جهاز الشخص المستهدف يقوم بتنفيذ عمل ما في بعض الحالات قد يؤدي لاختراقه. الباحث الأمني ذكر أنه أبلغ شركة سكايب قبل "يومين" عن الثغرة وحتى الآن لا يوجد ترقيع لها وإن كنت من مستخدمي نظام ويندوز أو ماك أنصحك ألا تستخدم البرنامج قبل إصدار تحديث أو على الأقل تأكد من الأشخاص الموجودين في قائمة الإتصال لديك.
رغم أننا في iSecur1ty نؤيد فكرة النشر الكامل للمعلومات لكن ليس بهذا الشكل الذي سيعرض عدد كبير من المستخدمين للخطر! إن كان النشر مسؤولاً فيجب إعطاء فرصة للشركة حتى تصدر تحديث وتنبيه المستخدمين أولاً وبعد إعلام الشركة أو في حال تجاهلت ذلك يتم نشر المعلومات.
الثغرة فعلاً خطيرة خصوصاً لبرنامج منتشر جداً مثل Skype. حتى الآن لم أقم بأي تجارب على الثغرة بعد.. ربما لحسن حظ الأشخاص الموجودين في قائمة الإتصال لدي!
تفاصيل الثغرة: skype_xss.txt التعليقات (23)
  أرسلت بواسطة: lnxg33k في July 15, 2011
"ONLOAD" تعتبر من اخسن استفلالات ال xss لانها لا تحتوى على واللى بيتعملها filter بنسيه كبيره
 أرسلت بواسطة: h4x0r في July 15, 2011
ثغرة اكثر من خطيرة خصوصا ان برنامج سكايب يوفر مكالمات مأجورة أي ان اختراق الحسابات سيعمل أزمة كبيرة إنها بالفعل ضربة موجعة لسكابي
 أرسلت بواسطة: ابوفهد في July 15, 2011
خخخخ هذي بداية الخير ,, لم تمضي فترة زمنيه على شراء شركة مايكروسوفت لبرنامج سكايب حتى ظهرت فيه الثغرات .
احترامي لكم جميعاً .
أرسلت بواسطة: h4x0r في July 16, 2011
ماذا سوف يحدث ان تم سرقة حسابات شركات كبيرة مليئة ببطاقات الائتمان أو تم اختراق اجهزتهم أعتقد ان سكايبي في ورطة كبيرة واعتقد ايضا انها ستنهار قريبا هل توافقونني الرأي ؟!!!
 أرسلت بواسطة: Mustafa Albazy في July 16, 2011
انصح الجميع يحسنون خصائص الخصوصية في حالة استخدام السكايب بكثرة.
 أرسلت بواسطة: خالد عمر في July 16, 2011
مشكور اخى الكريم على الخبر
خبطه قويه على رأس شركه مايكروسوفت :) الله المستعان تحياتى
أرسلت بواسطة: خالد عمر في July 16, 2011
اخ عبد المهيمن
أأسف لاخبارك بأن النسخه الخاصه باللينكس تم اصبتها :(( الاصدار 2.2.0.x تحياتى
أرسلت بواسطة: خالد عمر في July 17, 2011
نعم اخى الكريم
تم التجريب على الاصدار 2.2.0.35 تحياتى
 أرسلت بواسطة: jhacker في July 18, 2011
التثغرة ظهرت حتا في موقع ابودي
http://www.youtube.com/watch?v=AXeywmR-bqQ
 أرسلت بواسطة: prince في July 21, 2011
لو احتجت يااخوان استعمال skype ماذا يجب عليه فعله لتجنب هذه الثغرة
 أرسلت بواسطة: Noureddine في July 28, 2011
لابد من الحلول يا أصحاب السيكيوريتي ؟ مع العلم أن ثغرة XSS من الثغرات الشائعة
هذا بسبب البرامج مغلقة المصدر فنحن نثبت برامجهم وهم يزرعون ثغراتهم عندنا هذا ما ينقصنا؟
 أرسلت بواسطة: KinG Of PiraTeS في July 31, 2011
الثغرات كثيرة و المكثشفين قلال و بالتأكيد لا يوجد موقع أو برنامج يشتغل بحماية 100/100
 أرسلت بواسطة: Dr.Trojan في August 23, 2011
مشكور اخى الكريم على الخبر
دام وراهم مايكروسوفت راح تكثر الثغرات :) احترامي للجميع
 أرسلت بواسطة: H4kr3m في September 09, 2011
هدا احد اصدقائي من المانيا اكتشاف ايضا ثغرة في facebook من نوع xss
شكرا لكم :)
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
--> والله محظوظين الأشخاص ألي عندك بقائمة الأتصال
سؤال هل هناك أمكانية من أكشاف الثغرة من الأنتي فايروس أم لا في حال تطبيق كود خبيث عن طريق هذه الثغرة !؟