Kritische Lücke in Windows-Version von Skype
Aus Sicherheitsgründen hat der Hersteller eine Funktion in Skype bis zum Erscheinen eines Updates deaktiviert. Angreifer hätten sonst einen PC unter ihre Kontrolle bekommen können.
- Daniel Bachfeld
Aufgrund einer kritischen Sicherheitslücke in der Windows-Version von Skype hat der gleichnamige Hersteller eine Funktion deaktiviert, mit der Anwender Videos zu Nachrichten hinzufügen können. Damit lassen sich nun keine Videos mehr von der Partner-Seite Dailymotion zu Skype Moods und Chats einbinden. Der Zugriff mit Skype auf Videos von Metacafe ist weiterhin möglich.
Die Maßnahme war notwendig geworden, da Ende vergangener Woche Informationen über eine Schwachstelle in Skype auftauchten, mit der Angreifer unter Umständen die Kontrolle über einen PC übernehmen können. Ursache des Problems ist die Art, wie Skype die externen Webseiten der Videoanbieter in seinem Auswahlfenster darstellt. Dazu nutzt es laut Fehlerbericht des Herstellers die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Allerdings läuft der Inhalt dabei im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
Um die Lücke ausnutzen zu können, muss ein Angreifer in der Lage sein, in die Partnerseiten Dailymotion oder Metacafe eigenes JavaScript einzuschleusen. Genau dies ist bei Dailymotion der Fall: Beim Einstellen der Videos ist es möglich, etwa in den Titel des Videos JavaScript-Code hineinzuschreiben und so eine Cross-Site-Scripting-Attacke durchzuführen. Skype hat zu der Schwachstelle ein Security Advisory veröffentlicht, in dem ein Patch angekündigt wird. Bis dahin lassen sich mit dem Skype-Client keine Videos von Dailymotion aufrufen. Wie genau der Hersteller dies bewerkstelligt hat, lässt der Bericht offen. Betroffen sind laut Bericht Skype 3.5.x und 3.6.x.
Ob zusätzlich der Anbieter Dailymotion Maßnahmen ergreift, um die eingestellten Informationen besser zu filtern, ist nicht bekannt.
Siehe dazu auch:
- Skype Cross Zone Scripting Vulnerability, Fehlerbericht von Skype
- Skype cross-zone scripting vulnerability, Fehlerbericht von Aviv Raff
- XSS reikšm? Skype bei vaizdo nuotaik? ?terpimo interakcijoje, Fehlerbericht von Miroslav Lu?inskij
(dab)
