Skype-Update ermöglicht Account-Diebstahl

Das jüngst veröffentlichte Update auf Skype 5.5 für Windows hat eine schwerwiegende Sicherheitslücke, durch die Angreifer die Kontrolle über den Skype-Account übernehmen können, warnt der Sicherheitsexperte David Vieira-Kurz. Das Update verspricht eine enge Facebook-Anbindung. So kann man aus dem Skype-Client heraus nun die Aktivitäten seiner Facebook-Freunde verfolgen und selbst Statusnachrichten veröffentlichen. Dies ist allerdings ein echtes Sicherheitsrisiko, da der Client JavaScript-Code in Facebook-Statusnachrichten ungefiltert ausführt.

Auf diese Weise kann ein Angreifer etwa den Cookie des Skype-Nutzer und so die Sitzung des Skype-Nutzers übernehmen. heise Security konnte dieses Problem nachvollziehen. Für einen erfolgreichen Angriff muss der Täter nicht mal mit seinem Opfer bei Facebook befreundet sein, da auch JavaScript-Code auf Fanseiten ausgeführt wird – bei denen oftmals jeder Schreibzugriff hat. Erst vor zwei Wochen war Skype bereits für einen ähnlichen Cross-Site-Scripting-Angriff verwundbar; diese Lücke ist inzwischen behoben.

Update: Skype bestätigte gegenüber heise Security, dass man an einem Fix für das Problem arbeite. Allerdings wurde die Sicherheitslücke nicht durch das Update auf Version 5.5 eingeschleust. Betroffen ist nämlich neben der aktuellen Version 5.5 auch die 5.3er, die die fehlerhafte Facebook-Funktion bereits enthielt.

Zweites Update: Skype hat die Lücke in beiden Versionen geschlossen. Dies belegt auch ein Test von heise Security. Es ist nicht erforderlich, ein Update zu installieren. (rei)