Skype sperrt Einbinden von Videos aus Sicherheitsgründen komplett
Aufgrund der seit vergangener Woche bekannten Sicherheitslücke in Skype hat der Hersteller nun auch den Zugriff auf Metacafe blockiert. Angreifer könnten sonst mit präparierten Videoseiten einen PC unter ihre Kontrolle bringen.
- Daniel Bachfeld
"Bitte gehen Sie weiter, es gibt hier nichts zu sehen": Skype hat die Funktion "Videos zu persönlicher Nachricht hinzufügen" aus Sicherheitsgründen nun komplett deaktiviert. Somit lassen sich auch keine Videos mehr von Metacafe einbinden. Ende vergangener Woche hatte der Anbieter des gleichnamigen Clients zunächst nur den Zugriff auf das Videoclip-Portal Dailymotion blockiert, um zu verhindern, dass Angreifer in Videoseiten eingeschleuste JavaScripte in Skype ausführen können. Damit wäre es möglich, einen PC zu kapern.
Ursache des Problems ist die Art, wie Skype die externen Webseiten der Videoanbieter in seinem Auswahlfenster darstellt. Dazu nutzt es laut Fehlerbericht des Herstellers die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Allerdings läuft der Inhalt dabei im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
Zunächst schien es nur bei Dailymotion möglich zu sein, JavaScript etwa in Titel-Tags hineinzuschreiben. Bei weiteren Tests fand der israelische Sicherheitsspezialist Aviv Raff aber einen Weg, auch bei Metacafe eigenen JavaScript-Code in Videoseiten einzubetten. Zwar verhindert Metacafe solche Versuche über das normale Frontend der Webseite erfolgreich, allerdings lassen sich Videos zusammen mit selbst definierten Metatags alternativ über die Software "Metacafe Pro" hochladen. Diese Software versäumt es aber, die Tags auf JavaScript-Code zu filtern.
Laut Raff funktioniert sein Proof-of-Concept-Code nicht nur mit Skype, sondern auch mit Instant Messengern. Seiner Aussage nach könne ein Wurm die Lücke für seiner Verbreitung nutzen, weshalb er sich entschlossen habe, zunächst keine Details zu veröffentlichen. Ob er damit die Cross-Zone-Lücke in Skype oder die Cross-Site-Scripting-Lücke auf Metacafe meint, drückt Raff in seinem Bericht nicht deutlich aus.
Immerhin hat er Skype über das Problem informiert, die daraufhin den Zugriff auf Metacafe-Video deaktiviert haben. Die Entwickler sollen weiterhin an einem Patch arbeiten. Zwischenzeitlich soll Skype die Blockade von Metacafe aber wieder kurzzeitig zurückgenommen haben. Über die Gründe dafür ist nichts bekannt. Derzeit sieht man aber nur die Meldung "Hi there, no videos today".
Siehe dazu auch:
- No more videos for you. Come back when patch available!, Fehlerbericht von Aviv Raff
- (Update) Skype Cross Zone Scripting Vulnerability, aktualisierter Blogeintrag von Skype
(dab)
