Video: Skype HTML Injection and Caller Spoofing (http://www.youtube.com/watch?v=qo_nGZkrKsk#)
La última versión de Skype para Windows hasta el día de hoy 7/7/2013 es vulnerable a inyección restringida de HTML y spoofing local de llamadas.
La inyección HTML consiste en inyectar una cantidad reducida de tags HTML en el campo de búsqueda.
El spofing local de llamadas invierte quien le esta llamando a quien en el cliente desde el cual se abre el url skype:usuario?call&token=1
También es posible saltarse las pantallas de lanzar aplicación de Skype y de confirmación de llamada si se abre el url skype: desde la inyección HTML.
Video: Skype HTML Injection and Caller Spoofing (http://www.youtube.com/watch?v=qo_nGZkrKsk#)
por Roberto Salgado @Lightos de @_websec