Es ist eine nette Sache: Per
Skype-Chat direkt auch noch ein Video mitschicken. Doch dies ist auch ein großes Einfallstor für Hacker. Auf der Skype-Partnerseite dailymotion.com wurden präparierte Videos gefunden, die eine Cross-Zone-Scripting genannte Attacke ausführen könnten. Skype hat dazu eine
Sicherheitswarnung auf seiner Internetseite veröffentlicht.
Manipuliertes JavaScript
Die gefundene Sicherheitslücke soll nur Windows-Systeme betreffen. Skype nutzt die Rendering-Funktionen des Internet Explorers auch für Videos, die Chats und Moods angehängt werden. Bei dieser Technik wird ein Javascript und ActiveX-Interface genutzt, das in der sicheren lokalen Umgebung des Rechners abläuft und daher die höchsten Zugriffsrechte erhält. Über Skype-Partnerseiten wie dailymotion.com können Skype-Nutzer Videos zum Anhängen an ihre Chat-Nachrichten aussuchen. Bei dailymotion ist es jedoch möglich, bei der Vergabe eines Videotitels auch eigenes JavaScript mit Schadcode einzuschleusen, über das dann ein Hacker offenen Zugang zu dem System des Skype-Nutzers erhält.
Videofunktion vorübergehend deaktiviert
Als Sofortmaßnahme hat Skype die Funktion zum Anhängen von dailymotion-Videos vorerst aus Sicherheitsgründen deaktiviert. Diese Maßnahme soll bis zur Veröffentlichung eines offiziellen Fixes aufrecht erhalten bleiben. Blättert man durch die Videogalerie von dailymotion, so soll dies sicher sein, solange man nicht den Internet Explorer dafür nutzt. Betroffen sind laut Skype alle Skype-Programme in den Versionen 3.5.x und 3.6.x.
Jörg Schamberg
Meldung empfehlen
News
