WNZ: Rygte: OS X 10.8 introduceres i juniWNZ: Hemmeligt facelift til iPad 2WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsHvornår har du sidst været til LAN?
18. jul. 2011 09:55En sikkerhedsingeniør har fundet en cross-site scripting-sårbarhed (XSS) i den populære VoIP-klient Skype, som ifølge ingeniøren potentielt kan give adgang til brugernes operativsystem.
For at udføre et angreb behøver man blot at indtaste ondsindet JavaScript-kode i det profilfelt, der er til at oplyse om ens mobiltelefonnummer. Skype filtrerer ikke brugerinput i dette felt ordentligt, så Skype-brugeres session-cookies kan for eksempel indsamles i et angreb.
Inden informationerne om sikkerhedsbristen blev offentliggjort, kontaktede ingeniøren Skype, der har bekræftet at de er klar med en ny version af klienten i denne uge. De fortæller samtidig, at problemet kun kan finde sted når hackeren befinder sig i offerets liste over mest anvendte kontakter, og mener modsat ingeniøren kun, at det er muligt at omdirigere brugerne til andre sider eller skrive beskeder i pop-up-advarsler, hvorfor de ikke vil kalde problemet kritisk.
De berørte versioner er den nuværende Skype 5.3.0.120 og alle tidligere udgaver til Windows og OS X. Linux-klienten er til gengæld ikke sårbar. Den originale udmelding fra sikkerhedsingeniøren kan læses her.
18. jul. 2011 09:58
(satire slap af) "Linux-klienten er til gengæld ikke sårbar"
Suck it ms-fanboys :D
18. jul. 2011 10:07
Så der er reelt ikke noget akut problem, med mindre man har ufattelig dårlige kontakter på sin skype konto.. og i så fald har de nok allerede været forbi tidligere...
I like my beer cold, my TV loud and my homosexuals flaming.
18. jul. 2011 10:51
Har aldrig helt forstået det der med at JavaScript eller Session Cookies kan give adgang til OS.
JavaScript kan kun fortælle noget om browseren og hvilket styresystem man bruger. Og Session Cookies indeholder typisk kun et datostempel.
Og er JavaScript ikke efterhånden sandboxed i alle moderne browsere?
//Jeg kan alt, indtil det modsatte er bevist.
18. jul. 2011 11:00
#3: mener argumentet er, at man gennem js fx kan få fat i en uopdateret adobe reader, som har os adgang. I så fald forudsætter det en del om browserversion og tilføjelser før det kan lykkes, hvorfor #2 har ret, at i disse tilfælde er der meget lettere måder at angribe
Følg dem der søger sandheden, undgå dem der mener at have fundet den
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
