t3n News Software

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

Offenbar gibt es in der VoIP-Software ein Sicherheitsproblem. Engineer Levent Kayan vermeldet, die beliebte Anwendung zur Internettelefonie verwende in ihren Formularen der Nutzerprofile eine unzureichende Validation der Eingaben. So wäre es Hackern möglich das Feld „mobile phone“ zu nutzen, um darüber schadhaften auszuführen. Im schlimmsten Fall könne ein Angreifer sich Zugriff auf fremde PCs verschaffen, so Kayan.

Skype Sicherheitslücke – Formular führt schadhaften Code aus [Update]

Skype Sicherheitslücke betrifft Windows- und Mac-User

Das Sicherheitsproblem betrifft laut Kayan alle Skype-Versionen bis einschließlich der aktuellen Version 5.3.0.120 – sowohl Windows als auch Mac sollen betroffen sein, Linux hingegen nicht. Konkret könne ein Angreifer in seinen Profilinformationen in das Formularfeld, das zur Eintragung der Mobiltelefonnummer gedacht ist, JavaScript-Code eintragen. Dass auch andere Felder betroffen sein könnten, schließt der Sicherheitsexperte nicht aus. Wenn sich nun ein Kontakt des potentiellen Hackers bei anmeldet, kann der Code automatisch ausgeführt werden, beweist Kayan auf seiner Website in mehreren kurzen Videos. Das hat zur Folge, dass der Angreifer ohne viel Aufwand zum Beispiel die Session IDs seiner Skype Kontakte herausfinden könnte um sich mit deren Accounts anzumelden oder im schlimmsten Fall sogar auf deren PCs zuzugreifen.

Skype Sicherheitslücke: Sicherheitsexperte Kayan demonstriert in einem Video, wie über das Formular Code ausgeführt werden kann.

Kayan schlägt vor, zur Lösung des Problems müsse Skype die Eingaben in den Profilformularen einer Filterung nach Code unterziehen sowie vorhandenen Code löschen. Das Unternehmen wurde bereits informiert. Ob die Sicherheitslücke in der Praxis allerdings eine große Relevanz hat, ist fraglich. Schließlich kann ein Angreifer nur bei denjenigen Skype-Nutzern Code ausführen, die er in seiner Kontaktliste hat.

Update: Skype kommentiert Sicherheitslücke

Soeben wurden wir per über ein offizielles Statement von Skype informiert:

This issue has been known to us since the day before yesterday. It's considered a minor issue, we have developed a fix for it already, that will be deployed next week. Essentially it allows for one of your top contacts on Windows to display messages or redirect to websites within the SkypeHome page. In order to exploit this a person would have to be a validated contact of yours and one of the most frequent people you are in contact with.

Weiterführende Links:

Bildnachweis für die Newsübersicht: Foto: Falashad / flickr.com, Lizenz: CC-BY

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Keine Antwort
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Skype
Telefonieren mit Slack: VoIP-Feature wird ausgerollt, Videochats sind in Arbeit
Telefonieren mit Slack: VoIP-Feature wird ausgerollt, Videochats sind in Arbeit

Der beliebte Slack-Messenger schickt sich an, immer mehr zum Skype-Konkurrenten zu werden – die Entwickler haben jetzt auch eine Sprachfunktion für VoIP-Technologie angekündigt, die schon … » weiterlesen

Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“
Roboter statt Security-Mann: In Apples Heimat patroulliert dieser putzige „RoboCop“

In der kalifornischen Stadt Palo Alto, bekannt vor allem als Konzernsitz von Apple, patroulliert ein Roboter vor einem Einkaufszentrum. Der Knightscope hat keine Waffen wie der „RoboCop“, kann … » weiterlesen

Skype aufgebohrt: Messenger soll zur Plattform für Text- und Video-Bots werden
Skype aufgebohrt: Messenger soll zur Plattform für Text- und Video-Bots werden

Wie zuvor schon Slack und der Facebook-Messenger soll jetzt auch Skype zur Plattform für Bots werden. Neben einfachen Text-Bots soll es aber auch automatische Video-Bots geben – die könnten … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?