Das Kommunikationsprogramm Skype hat eine Sicherheitslücke, über die sich Angreifer Zugang zum Account von Gesprächspartnern, eventuell sogar zum System des Gesprächspartners verschaffen können.
Das Problem ist ein persistentes Cross Site Scripting, das erreicht wird, indem ein Angreifer den aggresiven Script-Code in sein Profil einbindet. Weil Skype diese Datenfelder nicht ausreichend prüft, wird bei jeder Anmeldung eines Kontakts bei Skype die eingebettete Javascript-Routine ausgeführt. Die kann dann zum Beispiel das aktuelle Session-Cookie an den Angreifer versenden oder noch Schlimmeres tun.
