Kontoübernahme
Datenleck bei Skype
In der Windows- und Mac-Software des von kürzlich Microsoft übernommenen VoIP-Anbieters Skype ist eine Sicherheitslücke entdeckt worden. Sie ermöglicht es einem Angreifer auf die Profile anderer Skype-Nutzer zuzugreifen, wenn diese mit ihm in Kontakt stehen.
In der aktuellen Version von Skype für Windows, wie auch in älteren Versionen, besteht eine Schwachstelle, die einem Angreifer den Zugriff auf die Daten fremder Skype-Konten ermöglicht. Denkbar scheint sogar, dass der Angreifer über diese Sicherheitslücke bis auf die Systemebene gelangen könnte.
Der Entdecker der Schwachstelle, Levent Kayan, hat eine Sicherheitsmeldung veröffentlicht, in der er auch einen Demo-Exploit mitliefert. Demnach handelt es sich um eine so genannte Cross-Site Scripting-Lücke. Der Angreifer kann in seinem Profil HTML- und Javascript-Code einfügen, der von Skype nicht ausgefiltert wird. Steht der Angreifer in der Skype-Kontaktliste eines potenziellen Opfers, wird der Code ausgeführt, sobald das Opfer sich bei Skype anmeldet.
Betroffen sind alle Skype-Versionen für Windows und Mac bis einschließlich 5.3.0.120. Eine Stellungnahme von Skype liegt noch nicht vor, Kayan will den Hersteller jedoch informiert haben. Eine Möglichkeit für Skype-Nutzer die Lücke zu schließen oder zu vermeiden ist bislang nicht bekannt.
Bis Skype über Windows Update aktualisiert werden kann, dürfte noch einige Zeit vergehen. Microsoft hat die Übernahme von Skype zwar mit den bisherigen Besitzern vertraglich fixiert, es stehen jedoch noch Genehmigungen der US- und EU-Wettbewerbshüter aus.
Update: Skype hat die Schwachstelle inzwischen Server-seitig behoben, ein Update der Skype-Software ist nicht erforderlich.
