t3n News Software

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

Offenbar gibt es in der VoIP-Software ein Sicherheitsproblem. Engineer Levent Kayan vermeldet, die beliebte Anwendung zur Internettelefonie verwende in ihren Formularen der Nutzerprofile eine unzureichende Validation der Eingaben. So wäre es Hackern möglich das Feld „mobile phone“ zu nutzen, um darüber schadhaften auszuführen. Im schlimmsten Fall könne ein Angreifer sich Zugriff auf fremde PCs verschaffen, so Kayan.

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

Skype Sicherheitslücke betrifft Windows- und Mac-User

Das Sicherheitsproblem betrifft laut Kayan alle Skype-Versionen bis einschließlich der aktuellen Version 5.3.0.120 – sowohl Windows als auch Mac sollen betroffen sein, hingegen nicht. Konkret könne ein Angreifer in seinen Profilinformationen in das Formularfeld, das zur Eintragung der Mobiltelefonnummer gedacht ist, JavaScript-Code eintragen. Dass auch andere Felder betroffen sein könnten, schließt der Sicherheitsexperte nicht aus. Wenn sich nun ein Kontakt des potentiellen Hackers bei anmeldet, kann der Code automatisch ausgeführt werden, beweist Kayan auf seiner Website in mehreren kurzen Videos. Das hat zur Folge, dass der Angreifer ohne viel Aufwand zum Beispiel die Session IDs seiner Skype Kontakte herausfinden könnte um sich mit deren Accounts anzumelden oder im schlimmsten Fall sogar auf deren PCs zuzugreifen.

Skype Sicherheitslücke: Sicherheitsexperte Kayan demonstriert in einem Video, wie über das Formular Code ausgeführt werden kann.

Kayan schlägt vor, zur Lösung des Problems müsse Skype die Eingaben in den Profilformularen einer Filterung nach Code unterziehen sowie vorhandenen Code löschen. Das Unternehmen wurde bereits informiert. Ob die Sicherheitslücke in der Praxis allerdings eine große Relevanz hat, ist fraglich. Schließlich kann ein Angreifer nur bei denjenigen Skype-Nutzern Code ausführen, die er in seiner Kontaktliste hat.

Update: Skype kommentiert Sicherheitslücke

Soeben wurden wir per E-Mail über ein offizielles Statement von Skype informiert:

This issue has been known to us since the day before yesterday. It's considered a minor issue, we have developed a fix for it already, that will be deployed next week. Essentially it allows for one of your top contacts on Windows to display messages or redirect to websites within the SkypeHome page. In order to exploit this a person would have to be a validated contact of yours and one of the most frequent people you are in contact with.

Weiterführende Links:

Bildnachweis für die Newsübersicht: Foto: Falashad / flickr.com, Lizenz: CC-BY

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Keine Antwort
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Skype
Windows-Notebooks: Gefährliche Sicherheitslücken in vorinstallierter Hersteller-Software
Windows-Notebooks: Gefährliche Sicherheitslücken in vorinstallierter Hersteller-Software

Windows-Rechner aller großen Hersteller haben sie an Bord: „Testversionen“ diverser Softwareanbieter, auch als Bloatware bekannt, und angepasste Update-Programme, mit denen OEMs mehr Kontrolle … » weiterlesen

Skype Meetings: Das kann Microsofts Hangouts-Alternative
Skype Meetings: Das kann Microsofts Hangouts-Alternative

Mit Skype Meetings bringt Microsoft seine Videokonferenzlösung endlich auch ins Web. Wir werfen einen Blick auf die Features der webbasierten Skype-Variante. » weiterlesen

Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten
Sicherheitslücken in Wordpress-Plugins: Admins müssen jetzt updaten

Im Rahmen eines Hacking-Events wurden erneut Sicherheitslücken in vier beliebten Wordpress-Plugins aufgedeckt. Diesmal betroffen: Ninja-Forms, Icegram, Video-Player und Paid Membership Pro. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?