Kritische Lücke in Windows-Version von Skype

M.o.s.c

Aufgrund einer kritischen Sicherheitslücke in der Windows-Version von Skype hat der gleichnamige Hersteller eine Funktion deaktiviert, mit der Anwender Videos zu Nachrichten hinzufügen können. Damit lassen sich nun keine Videos mehr von der Partner-Seite Dailymotion zu Skype Moods und Chats einbinden. Der Zugriff mit Skype auf Videos von Metacafe ist weiterhin möglich.

[FONT=Arial,Helvetica,sans-serif]Anzeige[/FONT]

Die Maßnahme war notwendig geworden, da Ende vergangener Woche Informationen über eine Schwachstelle in Skype auftauchten, mit der Angreifer unter Umständen die Kontrolle über einen PC übernehmen können. Ursache des Problems ist die Art, wie Skype die externen Webseiten der Videoanbieter in seinem Auswahlfenster darstellt. Dazu nutzt es laut Fehlerbericht des Herstellers die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Allerdings läuft der Inhalt dabei im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
Um die Lücke ausnutzen zu können, muss ein Angreifer in der Lage sein, in die Partnerseiten Dailymotion oder Metacafe eigenes JavaScript einzuschleusen. Genau dies ist bei Dailymotion der Fall: Beim Einstellen der Videos ist es möglich, etwa in den Titel des Videos JavaScript-Code hineinzuschreiben und so eine Cross-Site-Scripting-Attacke durchzuführen. Skype hat zu der Schwachstelle ein Security Advisory veröffentlicht, in dem ein Patch angekündigt wird. Bis dahin lassen sich mit dem Skype-Client keine Videos von Dailymotion aufrufen. Wie genau der Hersteller dies bewerkstelligt hat, lässt der Bericht offen. Betroffen sind laut Bericht Skype 3.5.x und 3.6.x.
Ob zusätzlich der Anbieter Dailymotion Maßnahmen ergreift, um die eingestellten Informationen besser zu filtern, ist nicht bekannt.
Siehe dazu auch:

Skype Cross Zone Scripting Vulnerability, Fehlerbericht von Skype
Skype cross-zone scripting vulnerability, Fehlerbericht von Aviv Raff
XSS reikšmė Skype bei vaizdo nuotaikų įterpimo interakcijoje, Fehlerbericht von Miroslav Lučinskij

(&quot;[email protected]&quot;/c't)

Quelle ct/heise

Gruß

Kritische Lücke in Windows-Version von Skype

Jetzt mitmachen!

Musik TV ( IPTV)

Das Vorhaben zur Vorratsdatenspeicherung: Eine Bedrohung für die Privatsphäre

Unsichtbare Bedrohung im Hola Browser: Monero-Miner bei Supply-Chain-Angriff entdeckt

Großangriff auf den Darknet-Drogenmarkt in Niedersachsen

Operation KRATOS 2: Erfolg ohne klare Zielbekanntgabe

Eine neue Bedrohung: Der adaptive KI-Wurm

Revolution oder Risiko? KI-gestützte Hörbücher im Wandel

Großrazzia gegen organisiertes Verbrechen in Sachsen-Anhalt

Wieder online: Warez-Forum Data-Load kehrt zurück nach einer unerwarteten Zwangspause

Geplante Änderungen bei der Vorratsdatenspeicherung: Ein Überblick

Sky führt Kartentausch von S02-Smartcards inklusive HD-Leihreceiver durch!

Sky - Checken welches Angebot möglich ist zur Verlängerung

Störung bei Sky

Bei Premiere gehen die Lichter aus

Sammel Topic ...Premiere zu & ORF über nagra

Premiere: Fast alle EMUS sind ausgefallen

Premiere AG: Neue Verschlüsselungstechnologie

Bastelt Premier wieder?

EMM aktiviert??

ORF wechselt im März?