Kayan wykrył lukę typu cross-site scripting, dzięki której możliwe jest umieszczenie w polu z informacjami o użytkowniku skryptu JavaScript. Wyświetlenie tego profilu za pomocą Skype'a spowoduje uruchomienie skryptu i umożliwi nieautoryzowaną zmianę hasła. Niemiecki specjalista twierdzi, że "napastnik" może w ten sposób przejąć kontro Skype "ofiary", zaś w skrajnych okolicznościach - nawet doprowadzić do przejęcia kontroli nad komputerem.

Informacje na temat luki Levent Kayan opublikował na swoim blogu w minioną środę, zaś krótko później opis problemu przesłano do pracowników Skype. Ci skomentowali te doniesienia dopiero w piątek późnym popołudniem. Firma generalnie bagatelizuje informacje o problemie - głównie dlatego, że atak przeprowadzić może jedynie ktoś, z kim "ofiara" często nawiązuje połączenia Skype (aby kod został automatycznie uruchomiony, musi on znajdować się w opisie kontaktu z tzw. top 4 - czyli listy najaktywniejszych rozmówców danego użytkownika).

Zobacz również:

• Luka w zabezpieczeniach WordPress

Przedstawiciele Skype'a zastrzegają oczywiście, że błąd w aplikacji faktycznie jest i że zostanie wkrótce usunięty - nie zgadzają się jednak z twierdzeniem, że problem jest tak poważny, jak przedstawia go Levent Kayan.

Luka występuje w najnowszej wersji Skype (5.3.0.120), w systemach Windows XP, Vista oraz 7, a także Mac OS X.