Een beveiligingsonderzoeker heeft een ernstig beveiligingslek in Skype onthuld, waardoor het mogelijk is om de wachtwoorden van gebruikers te wijzigen. Levent Kayan ontdekte een cross-site scripting-lek in de VoIP-applicatie. Het probleem bevindt zich in het veld waar gebruikers hun mobiele telefoonnummer kunnen opgeven. Een kwaadaardige gebruiker kan hier JavaScript invoeren.

Als een slachtoffer online komt, wordt het profiel van de kwaadaardige gebruikers bijgewerkt en het JavaScript uitgevoerd. Daardoor is het mogelijk om de sessie van iemand anders te kapen en zelfs het overnemen van de computer zou tot de mogelijkheden behoren. Een aanvaller zou ook het wachtwoord kunnen wijzigen. Om de aanval uit te voeren moet de aanvaller wel eerst in de vriendenlijst van het slachtoffer staan.

Kayan waarschuwde Skype, maar heeft nog geen reactie ontvangen. Het probleem bevindt zich in de laatste Skype-versie voor Windows XP, Vista, 7 en Mac OS X. De onderzoeker maakte tevens deze videodemonstratie.

Update 17:25
Skype laat in een reactie weten dat het probleem niet zo erg is als Kayan doet voorkomen. Een aanvaller die zich bovenaan de contactenlijst bevindt, zou berichten kunnen weergeven of gebruikers naar websites binnen de Skype startpagina kunnen doorsturen.