Weitere SicherheitslĂĽcke im VoIP-Client Skype
Eine Sicherheitslücke im Zusammenhang mit der SkypeFind-Funktion hat Angreifern ermöglicht, eigenen JavaScript-Code auf einem Windows-PC mit den höchsten Rechten auszuführen.
- Daniel Bachfeld
Skype hat eine Sicherheitslücke im Zusammenhang mit der SkypeFind-Funktion geschlossen, mit der Angreifer eigenen JavaScript-Code auf einem Windows-PC hätten ausführen können. Die Ursache des Problems war dieselbe wie Mitte Januar: Externe Webseiten stellt Skype mit der HTML-Render-Engine beziehungsweise der JS/ActiveX-API des Internet Explorer dar, allerdings läuft der Inhalt dabei im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
SkypeFind dient zum Suchen etwa von Händlern und Restaurants, die von andere Skype-Mitgliedern empfohlen wurden. Leider filtert der Client den Namen des empfehlenden Kontaktes nicht richtig, sodass darin von einem Angreifer hineingeschriebenes JavaScript bei der Ansicht im Client des Opfer startet. Entdeckt hatte die Lücke wieder einmal der israelische Sicherheitsspezialist Aviv Raff. Wie genau Skype das Problem gelöst hat, ist nicht bekannt. Ein Update des Clients ist nicht notwendig. Allerdings arbeitet der Hersteller immer noch an einem Patch, um das eigentliche Cross-Zone-Scripting-Problem zu beheben. Daher ist auch weiterhin die Funktion in Skype "Videos zu persönlicher Nachricht hinzufügen" gesperrt.
Siehe dazu auch:
- Skypefind Cross Zone Scripting Vulnerability, Fehlerbericht von Skype
- Attackers can SkypeFind you, Fehlerbericht von Aviv Raff
(dab)
