Skypeサービスの「app.email.skype.com」とは、携帯やパソコン経由のSKYPEメールGUIウェブ・インターフェースです。
本件の問題はセキュリティ研究者「Yeyah」が発見しました。タイムラインは下記となります↓
Date submitted: 16/02/2011
Date published: 18/02/2011
問題情報は↓
「app.email.skype.com」でXSS/CSS(クロススクリプティング)バグがあり、例えば下記の悪戯POSTコマンドを送るとサーバの情報が見れるようになります。
「POST: action=signup1&languagecode=en&firstname=●●●&lastname=●●●&email=%22%3E%3Cscript%3Ealert%28%22xss %22%29%3C%2Fscript%3E&carrier=&task=send」
Alexaより「app.email.skype.com」は189番の世界有名なサイトですので、早めに本件のバグを直して欲しいですね。現時点では未だ治っていませんので、ゼロデイの状況となっています。
----
ゼロデイジャパン
http://0day.jp
Compiled&Check by :アドリアン・ヘンドリック
0 件のコメント:
コメントを投稿