Skype-Sicherheitslücke gefährdet Windows-Rechner

6. Februar 2008, 12:03
posten

Schadcode kann von außen eingeschmuggelt werden - Bisher kein Update verfügbar

Sicherheitslücken sind selten eine erfreulich Sache, besonders unangenehm sind sie aber, wenn das entsprechende Problem zwar öffentlich ist, es aber noch kein Update gibt. Mit einer solchen Situation sehen sich nun die BenutzerInnen der Windows-Version von Skype konfrontiert.

Kombination

Die Problematik entsteht im konkreten Fall aus dem Zusammenspiel mit dem Internet Explorer, die Voice-over-IP-Software benutzt diesen, um HTML darzustellen, verwendet dazu aber die relativ laschen Sicherheitsmaßnahmen für die "lokale Zone". Wie der Sicherheitsexperte Aviv Raff nun demonstriert lässt sich dies dazu benutzen, um Code auf einen Rechner einzuschmuggeln und zur Ausführung bringen.

Vertrauen

Um dieses Problem auszunutzen müssen die AngreiferInnen nur eine Cross-Zone-Scripting-Problem in einer der bei Skype als "vertrauenswürdig" markierten Seiten mittels eines manipulierten Videos ausnutzen. Entsprechende Probleme sind relativ häufig bei Webseiten zu finden, so etwa auch bei derjenigen, die Skype für die Default-Suche verwendet: Dailymotion.com.

Ausweg

Das Problem betrifft zumindest die aktuelle Version 3.6.0.244 von Skype, es ist aber davon auszugehen, dass auch ältere Releases gefährdet sind. Als Workaround bis zur Verfügbarkeit eines Patches empfiehlt sich die Video-Suchfunktion der Software vorerst nicht mehr zu benutzen.

Update, 12:30

Bei Skype hat man mittlerweile reagiert und die Anbindung an Dailymotion deaktiviert. (red)

  • Bild nicht mehr verfügbar
Share if you care.