Уязвимость в Skype

Мелкомягкие закрыли (типа!) обнаруженную на днях опасную уязвимость Skype

http://s3.uploads.ru/t/n8hU1.jpg

14.ноября появились сообщения об обнаружении при восстановлении пароля к Skype
дырки, позволяющей угнать любой аккаунт Skype, зная только имя юзера и его email.

первым о проблеме сообщил сайт The Next Web. представителям этого сайта удалось
угнать аккаунт Skype, следуя инструкциям с какого-то русскоязычного форума,
где они были опубликованы еще два месяца назад.

процесс угона довольно прост. удивительно, что Microsoft его раньше не обнаружила.
по сути, для угона нужно лишь создать новый аккаунт Skype с адресом email, который
уже использовался другим человеком. регистрация это позволяла.

при повторной регистрации Skype автоматически внутренне связывал оба аккаунта.
письмо с подтверждением регистрации на почту не отсылалось, а атакующий просто
автоматически вводился в систему.

далее он запрашивал сброс пароля для выбранного аккаунта. прикол в том, что сброс
пароля отсылался не только на почту, но и представлялся в интерфейсе Skype.
это и позволяло атакующему сбросить пароль жертвы.

сообщается, что Microsoft была уведомлена о проблеме. однако каких-либо действий
на эту проблему компания, похоже, не предприняла. правда, через несколько часов
после опубликования инфы об уязвимости, MS в блоге Skype написала о ее закрытии.

также Мелкомягкие заявили о том, что пытаются связаться со всеми людьми, которые
могли от нее пострадать. со слов компании, таких людей не много...  :D

ну каково, а!  %-)