Skype, petit XSS entre amis

Levent Kayan vient de publier un bulletin d’alerte accompagné d’une capture d’écran et d’une série séquence vidéo sous Linux, Windows 7 et XP explicites en diable. L’attaque semble reposer sur une absence de validation dans un champ de saisie de numéro de téléphone, qui autoriserait l’insertion d’un JavaScript. L’injection n’est possible que si le correspondant attaquant a été approuvé… Gardez-moi de mes amis, mes ennemis, je m’en charge.