zurück zum Artikel

Lücke ermöglicht Account-Diebstahl bei Skype Update

Diese Demo öffnet nur ein Fenster; sie könnte die Daten aber auch unbemerkt an den Angreifer schicken.

Das beliebte VoIP-Programm Skype weist ein Sicherheitsproblem auf, über das sich Angreifer unter anderem Zugang zum Account ihrer Kommunikationspartner verschaffen könnten. Unter Umständen könnte er sogar Zugang zum System des Anwenders erlangen, warnt der Entdecker Levent Kayan in einem Security-Advisory [1].

Bei dem Sicherheitsproblem handelt es sich um sogenanntes persistentes Cross Site Scripting. Konkret kann ein Angreifer Script-Code geschickt in die Beschreibung seines Profils einbetten. Offensichtlich filtert Skype diese Felder nicht ausreichend. Meldet sich ein Kontakt des Angreifers dann bei Skype an, wird ohne weiteres Zutun der eingebettete JavaScript-Code ausgeführt und er könnte etwa das aktuelle Session-Cookie an den Angreifer schicken.

Betroffen sind laut Kayan die Versionen bis einschließlich des aktuellen 5.3.0.120 für Windows und Mac; in den Linux-Versionen tritt das Problem anscheinend nicht auf. heise Security konnte das Problem mit Version 5.3.0.120 auf Windows 7 und XP nachvollziehen. Allerdings trat es aus nicht nachvollziehbaren Gründen teilweise erst nach mehr als zehn Anmeldevorgängen auf. Kayan hat nach eigenen Angaben den Hersteller benachrichtigt; einen Fix gibt es allerdings bislang noch nicht.

Update: Skype bestätigt, dass man die Lücke kenne und auch bereits einen Patch entwickelt habe. Der soll im Lauf der nächsten Woche veröffentlicht werden. Skype liefert auch eine plausible Erklärung, warum sich das Problem nicht auf Anhieb reproduzieren ließ. Um es auszunutzen, muss der Angreifer in der Liste der häufigsten Kontakte seines Opfers auftauchen. Allerdings stuft Skype das ganze als kleineres Problem ein, da es einem Angreifer angeblich nur möglich sei, Meldungen anzuzeigen und auf Skype-Seiten umzuleiten.

2.Update: Skype hat das Problem anscheinend mittlerweile gelöst. Das Einspielen eines Updates sei dazu nicht nötig, heißt es im zugehörigen Blog-Eintrag [2]. (ju [3])


URL dieses Artikels:
http://www.heise.de/-1279703

Links in diesem Artikel:
[1] http://www.noptrix.net/advisories/skype_xss.txt
[2] http://blogs.skype.com/security/2011/07/explaining_the_cross_site_scri.html
[3] mailto:ju@ct.de