Podle bezpečnostního analytika Levanta Kayana obsahuje poslední verze aplikace pro online komunikaci Skype pro Windows nebezpečnou bezpečnostní trhlinu, na kterou expert upozornil již v předchozí verzi. Podle serveru TheRegistr by chyba mohla vést i k "unesení" počítače, na kterém je aplikace spuštěna.
Pokračuje tak slovní přestřelka mezi Kayanem a Microsoftem, majitelem Skypu, která začala před měsícem, když německý analytik našel chybu i ve starší verzi Skypu.
Nic vážného
V červenci Kayan oznámil, že ve verzi Skypu 5.4. XSS našel chybu, umožňující zadat do pole aplikace JavaScript, a že tato chyba vytváří mechanismus, kterým lze napadnout i jiný software, včetně operačního systému.
Toto zjištění však Skype silně rozporoval s tím, že chyba sice existuje, ale nemůže být zneužita k instalaci malwaru nebo k jinému vážnějšímu ohrožení bezpečnosti. K tomu aby zobrazovala zadaná okna, musela totiž být akceptována jako ověřený kontakt uživatele.
"XSS chyba se týkala přístupu do oblasti, poskytující zprávu o vašich nejčastějších kontaktech a náladě. Tímto způsobem mohli získat vaši přátelé třeba session id nebo cookie. Ty však mají značně omezený rozsah konání," komentovali tehdy kauzu zástupci Skypu.
V nové verzi to samé
Po měsíci však Kayan tvrdí, že podobnou chybu obsahuje i nová verze Skypu pro Windows 5.5. "Útok může proběhnout vložením HTML/JavaScript kódu, ale ještě není prokázáno, zda by útočník byl schopný unést cookie, nebo napadnout operační systém". Chyba je podle něj způsobena uživatelským IP klientem, který není schopný rozeznat škodlivý kód mezi telefonními čísly a blokovat ho.
Skype Kayanova zjištění považuje za sporné. Už v květnu však objevili australští analytici chybu, umožňující na potenciální možnost zneužití Skypu na počítačích s operačními systémy MacOS X.