1086779

Neues Datenleck in Skype

19.08.2011 | 15:36 Uhr |

Bereits zum zweiten Mal innerhalb weniger Wochen ist im VoIP-Dienst Skype eine Schwachstelle entdeckt worden, die es einem Angreifer ermöglicht auf die Profile seiner Kontakte zuzugreifen und womöglich Code in deren Systeme zu schleusen.

Mitte Juli hatte der in Berlin lebende Armenier Levent Kayan eine Sicherheitslücke in Skype entdeckt, die auf einer persistenten XSS-Anfälligkeit (Cross-site  Scripting) basiert. Der VoIP-Dienst filtert Javascript- und HTML-Code nicht aus, den Benutzer in ihre Profile einbinden. Nach der Veröffentlichung seiner Entdeckung hat Skype die Schwachstelle Server-seitig behoben, jedoch offenbar nicht mehr getan als unbedingt nötig.

Denn Levent "noptrix" Kayan hat nun eine weitere, recht ähnliche Lücke in Skype entdeckt. Wiederum besteht der Kern des Fehler darin, dass Skype nicht nur das Einfügen von Script-Code erlaubt sondern diesen auch nicht ausfiltert, wenn das Benutzerprofil übertragen wird. So gelangt der Code zu einem anderen Skype-Nutzer, der mit dem Angriff in Kontakt steht. Kayan hat nicht überprüft, ob es möglich ist mit dem eingeschleusten Code auf Systemebene zu gelangen oder Cookies zu stehlen.

Diese neuerliche Lücke dürfte auch nicht schwerer zu stopfen sein als die erste. Es bleibt allerdings zu hoffen, das Skype die Aufgabe dieses Mal etwas gründlicher angeht, damit nicht in Kürze über eine dritte Schwachstelle ähnlicher Bauart zu berichten sein wird.

0 Kommentare zu diesem Artikel
1086779