Kritische Lücke in Windows-Version von Skype

M.o.s.c

Aufgrund einer kritischen Sicherheitslücke in der Windows-Version von Skype hat der gleichnamige Hersteller eine Funktion deaktiviert, mit der Anwender Videos zu Nachrichten hinzufügen können. Damit lassen sich nun keine Videos mehr von der Partner-Seite Dailymotion zu Skype Moods und Chats einbinden. Der Zugriff mit Skype auf Videos von Metacafe ist weiterhin möglich.

[FONT=Arial,Helvetica,sans-serif]Anzeige[/FONT]

Die Maßnahme war notwendig geworden, da Ende vergangener Woche Informationen über eine Schwachstelle in Skype auftauchten, mit der Angreifer unter Umständen die Kontrolle über einen PC übernehmen können. Ursache des Problems ist die Art, wie Skype die externen Webseiten der Videoanbieter in seinem Auswahlfenster darstellt. Dazu nutzt es laut Fehlerbericht des Herstellers die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Allerdings läuft der Inhalt dabei im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
Um die Lücke ausnutzen zu können, muss ein Angreifer in der Lage sein, in die Partnerseiten Dailymotion oder Metacafe eigenes JavaScript einzuschleusen. Genau dies ist bei Dailymotion der Fall: Beim Einstellen der Videos ist es möglich, etwa in den Titel des Videos JavaScript-Code hineinzuschreiben und so eine Cross-Site-Scripting-Attacke durchzuführen. Skype hat zu der Schwachstelle ein Security Advisory veröffentlicht, in dem ein Patch angekündigt wird. Bis dahin lassen sich mit dem Skype-Client keine Videos von Dailymotion aufrufen. Wie genau der Hersteller dies bewerkstelligt hat, lässt der Bericht offen. Betroffen sind laut Bericht Skype 3.5.x und 3.6.x.
Ob zusätzlich der Anbieter Dailymotion Maßnahmen ergreift, um die eingestellten Informationen besser zu filtern, ist nicht bekannt.
Siehe dazu auch:

Skype Cross Zone Scripting Vulnerability, Fehlerbericht von Skype
Skype cross-zone scripting vulnerability, Fehlerbericht von Aviv Raff
XSS reikšmė Skype bei vaizdo nuotaikų įterpimo interakcijoje, Fehlerbericht von Miroslav Lučinskij

(&quot;[email protected]&quot;/c't)

Quelle ct/heise

Gruß

Kritische Lücke in Windows-Version von Skype

Jetzt mitmachen!

Letsung GoLite 11: Testbericht eines Ultra-günstigen Mini-PCs

IPTV-Piraterie in Indien: Großaktion gegen illegales Streaming-Netzwerk

EU-Turbo-Takedowns: Ein neues Kapitel im Kampf gegen illegales Streaming?

ACEMAGIC M1 Review – Der kompakte Kraftprotz mit Ryzen-Power

Plex Live TV / LG Channels / Wedo TV

Samsung TV Plus/Rakuten TV

Abmahngefahr durch Likes: Gericht in den USA sieht Social-Media-Interaktionen als Beweis

BREIN Licht ins Dunkel: Illegale IPTV-Anbieter stark unter Druck

Pluto TV

VPN-Blockade in Frankreich: Gericht ordnet Sperre illegaler Streams an

Sky führt Kartentausch von S02-Smartcards inklusive HD-Leihreceiver durch!

Sky - Checken welches Angebot möglich ist zur Verlängerung

Störung bei Sky

Bei Premiere gehen die Lichter aus

Sammel Topic ...Premiere zu & ORF über nagra

Premiere: Fast alle EMUS sind ausgefallen

Premiere AG: Neue Verschlüsselungstechnologie

Bastelt Premier wieder?

EMM aktiviert??

ORF wechselt im März?

Benutzer online in diesem Thema