Tech Design : le site de référence des nouvelles technologies

 L'exploitation d'une vulnérabilité XSS permet à un attaquant distant de mettre la main sur les informations personnelles de la cible.

Une nouvelle faille critique a été découverte dans la version mobile Skype. Après Android en février dernier, c'est au tour d'iOS (iPhone) d'être touché.

Il est ainsi possible à un hacker d'injecter du code JavaScript à un message chat à travers une attaque de type XSS (cross scripting). Précisément, il suffit d’insérer du code JavaScript dans le nom de l’utilisateur ciblé, puis de lui envoyer un message.

Patch

Il est alors possible pour l'attaquant distant de mettre la main sur certaines informations personnelles comme le carnet d'adresses sans que la cible ne s'en aperçoive.

Etant donné l'approche 'sandbox' d'iOS, les informations accessibles sont limitées mais elles existent. L'éditeur du logiciel de sécurité travaille sur cette vulnérabilité depuis plusieurs semaines et promet un correctif pour bientôt.