Kritische Sicherheitslücke in Skype

Wegen einer kritischen Sicherheitslücke in Skype hat der Hersteller die Funktion deaktiviert, mit der die Nutzer den Nachrichten Videos hinzufügen können. So lassen sich keine Videos mehr von der Partnerseite Dailymotion zu Skype Moods und Chats einbinden. Der Zugriff mit Skype auf Videos von Metcafe ist aber weiterhin möglich.
Grund für die Massnahme waren Informationen über ein Sicherheitsproblem in Skype, die Ende vergangener Woche aufgetaucht waren. Demnach kann ein Angreifer unter Umständen die Kontrolle über einen PC übernehmen. Ursache ist die Art, wie Skype die externen Webseiten der Videoanbieter im Ausstellfenster darstellt. Laut Fehlerbericht nutzt das Programm dazu die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Die Inhalte laufen jedoch im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
 

Will ein Angreifer die Sicherheitslücke ausnutzen, muss er dazu in die Partnerseiten Dailymotion oder Metacafe eigenes JavaScript einschleusen. Bei Dailymotion ist das kein Problem, beim Einstellen der Videos kann JavaScript-Code in den Titel des Videos eingefügt werden und so eine Cross-Site-Scripting-Attacke durchführen.
Skype hat zu der Schwachstelle ein Security Advisory bereitgestellt in dem auch ein Patch angekündigt wird. Laut Bericht sind Skype 3.5.x und 3.6.x von der Sicherheitslücke betroffen. (21.01.08, Heise)