Skype 5.3 und 5.5 mit kritischem Sicherheitsleck Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


31.07.2011 pte/Rudolf Felser

Skype 5.3 und 5.5 mit kritischem Sicherheitsleck

Schwachstelle in Facebook-Integration: Die Skype-Version 5.5 bringt neben neuen Funktionen auch eine gefährliche Lücke, von der anscheinend auch die Ausgabe 5.3 betroffen ist.

Ich konnte auf Anhieb mehrere persistente Sicherheitslücken ausfindig machen, die es mir erlauben, mittels eines Facebook Pinnwand-Kommentars die Session eines Skype-Nutzers auszulesen und somit volle Kontrolle über dessen Session zu erlangen, schreibt Sicherheitsexperte David Vieira-Kurz auf seinem Blog. An der Behebung des Lecks wird gearbeitet.

Das Problem: Skype erlaubt es, auf Facebook Einträge zu lesen und zu schreiben. Über einen Pinnwandkommentar lässt sich aufgrund der Sicherheitslücke die Session-ID des jeweiligen Skypers auslesen. Diese ermöglicht das Hijacken der Sitzung und damit potentiell die Übernahme des gesamten Accounts.

Die Ursache, so Vieira-Kurz, ist in der unsauberen Verarbeitung von Facebook-Comments in Skype zu finden, die selbige vor der Auslieferung nicht bereinigt. Angreifer und Opfer müssen auf der Plattform nicht befreundet sein, es genügt die gleiche Fanpage zu "liken", wenn diese das Posten von Kommentaren erlaubt. Der Sicherheitsfachmann veröffentlichte ein Proof-of-Concept-Video.

Skype ist das Problem mittlerweile bekannt. Betroffen sind die Versionen 5.3 und 5.5 für Windows, so das Unternehmen am Freitagnachmittag auf Anfrage der Nachrichtenagentur pressetext. An einem Fix wird gearbeitet. Wann ein entsprechendes Update verfügbar ist, steht noch nicht fest. Die Android- und iOS-Versionen des Messengers sind nicht betroffen, da diese nicht über Facebook-Integration verfügen. Spezifische Sicherheitsratschläge hat man derzeit nicht parat, Skype rät aber generell, bei der Auswahl von Kontakten Vorsicht walten zu lassen. (pte)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: