Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Gadgets & Lifestyle

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

    Skype Sicherheitslücke - Formular führt schadhaften Code aus [Update]
#FLICKR#

Offenbar gibt es in der VoIP-Software Skype ein Sicherheitsproblem. Security Engineer Levent Kayan vermeldet, die beliebte Anwendung zur Internettelefonie verwende in ihren Formularen der Nutzerprofile eine unzureichende Validation der Eingaben. So wäre es Hackern möglich das Feld „mobile phone“ zu nutzen, um darüber schadhaften Code auszuführen. Im schlimmsten Fall könne ein Angreifer sich Zugriff auf fremde PCs verschaffen, so Kayan.

Skype Sicherheitslücke betrifft Windows- und Mac-User

Das Sicherheitsproblem betrifft laut Kayan alle Skype-Versionen bis einschließlich der aktuellen Version 5.3.0.120 – sowohl Windows als auch Mac sollen betroffen sein, Linux hingegen nicht. Konkret könne ein Angreifer in seinen Profilinformationen in das Formularfeld, das zur Eintragung der Mobiltelefonnummer gedacht ist, JavaScript-Code eintragen. Dass auch andere Felder betroffen sein könnten, schließt der Sicherheitsexperte nicht aus. Wenn sich nun ein Kontakt des potentiellen Hackers bei Skype anmeldet, kann der Code automatisch ausgeführt werden, beweist Kayan auf seiner Website in mehreren kurzen Videos. Das hat zur Folge, dass der Angreifer ohne viel Aufwand zum Beispiel die Session IDs seiner Skype Kontakte herausfinden könnte um sich mit deren Accounts anzumelden oder im schlimmsten Fall sogar auf deren PCs zuzugreifen.

Skype Sicherheitslücke: Sicherheitsexperte Kayan demonstriert in einem Video, wie über das Formular Code ausgeführt werden kann.

Kayan schlägt vor, zur Lösung des Problems müsse Skype die Eingaben in den Profilformularen einer Filterung nach Code unterziehen sowie vorhandenen Code löschen. Das Unternehmen wurde bereits informiert. Ob die Sicherheitslücke in der Praxis allerdings eine große Relevanz hat, ist fraglich. Schließlich kann ein Angreifer nur bei denjenigen Skype-Nutzern Code ausführen, die er in seiner Kontaktliste hat.

Update: Skype kommentiert Sicherheitslücke

Soeben wurden wir per E-Mail über ein offizielles Statement von Skype informiert:

This issue has been known to us since the day before yesterday. It's considered a minor issue, we have developed a fix for it already, that will be deployed next week. Essentially it allows for one of your top contacts on Windows to display messages or redirect to websites within the SkypeHome page. In order to exploit this a person would have to be a validated contact of yours and one of the most frequent people you are in contact with.

Weiterführende Links:

Bildnachweis für die Newsübersicht: Foto: Falashad / flickr.com, Lizenz: CC-BY

Finde einen Job, den du liebst

Schreib den ersten Kommentar!

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen