Báo cáo này được nhà tư vấn bảo mật Levent Kayan đăng trên blog riêng vào hôm thứ 4 (13/7) và được thông báo cho Skype một ngày sau đó.

Skype cho biết sẽ đưa ra bản vá vào tuần này.

Lỗ hổng này liên quan đến mục điền số điện thoại di động khi tạo tài khoản Skype. Kayan cho biết hacker có thể chèn JavaScript vào mục số điện thoại di động trong hồ sơ (profile) của người khác.

Khi một trong những địa chỉ liên lạc đó online, hồ sơ của hacker sẽ được cập nhật, và JavaScript sẽ chạy khi các địa chỉ này khi đăng nhập. Kayan cho rằng hacker sẽ tấn công tài khoản và kiểm soát máy tính của người đó. Kẻ tấn công cũng có thể thay đổi mật khẩu trong tài khoản của người sử dụng.

Tuy nhiên, có một số yếu tố có thể giảm bớt ảnh hưởng của lỗ hổng này đó là kẻ tấn công và nạn nhân phải là bạn trên Skype. Ngoài ra, kẻ tấn công cũng không thể kiểm soát ngay lập tức khi nạn nhân đăng nhập mà phải sau khi đăng nhập lại nhiều lần.

Skype nên kiểm tra dữ liệu nhập vào từ mục số điện thoại di động và xác nhận đó là một số điện thoại chứ không phải là mã độc. Vấn đề này xuất hiện trên phiên bản gần đây của Skype, 5.3.0.120, với hệ điều hành Windows XP, Vista và 7 cũng như Mac OS X.

Skype không đồng ý với cách miêu tả của Kayan về lỗ hổng này, và cho rằng nó chỉ là một lỗ hổng nhỏ.

Theo Computerworld