52446

Neue Sicherheitslücke in Skype gemeldet

18.01.2008 | 12:36 Uhr |

Sicherheitsexperten warnen vor einer neuen Lücke in der Kommunikations-Software Skype. Angreifer erhalten darüber einen neuen und relativ einfachen Weg, bösartige Software zu verbreiten.

Bei einer neuen Sicherheitslücke in Skype können sich Malware-Autoren Videos bedienen, um ihre Schad-Software zu verbreiten. Der Entdecker der Lücke, Aviv Raff , erklärte, dass das Problem damit zusammenhängt, wie Skype unter Zuhilfenahme einer Komponente des Internet Explorers (IE) HTML rendert. Daher könnten Angreifer Script-Code auf fremden Systemen ausführen und letztendlich Malware installieren.

Der Sicherheitsexperte Petko Petkov erläutert das Problem in seinem Weblog im Detail . Demnach führt Skype die IE-Komponente mit der Sicherheitseinstellung "Lokale Zone" aus. Dies wiederum ermögliche es Angreifern, nahezu alles auf den Fremd-Systemen zu unternehmen. Dies reiche dabei vom Lesen und Schreiben von Dateien auf die Festplatte bis hin zum Ausführen von EXE-Dateien, sagte Petkov.

Für einen erfolgreichen Angriff benötigen die Urheber allerdings noch eine zweite Komponente: Eine vertrauenswürdige Website, die eine so genannte "Cross Zone Scripting"-Lücke aufweist. Damit würden die Malware-Autoren erreichen, dass sich Anwender in Sicherheit wiegen, sobald Skype das Skript ausführt, da es scheinbar von einer vertrauenswürdigen Quelle stammt. Petkov nennt als Beispiel für eine Site mit einer derartigen Lücke dailymotion.com, einem Video-Portal.

Angreifer müssten zunächst ein präpariertes Video auf dieser Site platzieren. Sobald nun ein Skype-Nutzer über den "Add Video to Chat"-Button diese Seite besucht und das Video aufruft, schnappt die Falle zu. In einem Angriffszenario wäre es beispielsweise möglich, dass hunderte dieser präparierten Videos zu populären Begriffen online gestellt werden, um möglichst viele Anwender zu treffen. Als Lösungsmaßnahme schlägt Petkov vor, bis zum Erscheinen eines Patches die "Add Video to Chat"-Funktion in Skype nicht zu nutzen. Die Sicherheitslücke betrifft die aktuelle Version Skype 3.6.0.244, ältere Versionen könnten laut Raff aber ebenfalls betroffen sein.

0 Kommentare zu diesem Artikel
52446