В Skype для iPhone нашли критическую уязвимость

Исследователь Фил Пурвианс (Phil Purviance) обнаружил XSS уязвимость в Skype для iPhone. Уязвимость существует из-за недостаточной обработки входных данных в имени контакта. Удаленный пользователь может с помощью специально сформированного имени выполнить произвольный HTML и JavaScript сценарий на целевой системе. Удачная эксплуатация уязвимости позволяет злоумышленнику скачать полноценную копию адресной книги, как показано в демонстрационном видео.

В том, что у злоумышленников появилась возможность похитить адресную книгу владельца iPhone, виновен не только Skype. Разработчики iOS не посчитали нужным ограничить доступ установленным приложениям к файлу адресной книги. Таким образом, любое уязвимое приложение, установленное на iPhone, может использоваться злоумышленниками для кражи потенциально важных данных.