Skype 5.3 und 5.5 mit kritischem Sicherheitsleck

«Ich konnte auf Anhieb mehrere persistente Sicherheitslücken ausfindig machen, die es mir erlauben mittels eines Facebook Pinnwand-Kommentar die Session eines Skype-Nutzers auszulesen und somit volle Kontrolle über dessen Session zu erlangen.», schreibt Sicherheitsexperte David Vieira-Kurz auf seinem Blog. An der Behebung des Lecks wird gearbeitet.

Kommentar-Leck erlaubt Hijacking

Das Problem: Skype erlaubt es, auf Facebook Einträge zu lesen und zu schreiben. Über einen Pinnwandkommentar lässt sich aufgrund der Sicherheitslücke die Session-ID des jeweiligen Skypers auslesen. Diese ermöglicht das Hijacken der Sitzung und damit potentiell die Übernahme des gesamten Accounts.

Die Ursache, so Vieira-Kurz, ist in der unsauberen Verarbeitung von Facebook-Comments in Skype zu finden, die selbige vor der Auslieferung nicht bereinigt. Angreifer und Opfer müssen auf der Plattform nicht befreundet sein, es genügt die gleiche Fanpage zu «liken», wenn diese das Posten von Kommentaren erlaubt. Der Sicherheitsfachmann veröffentlichte ein Proof-of-Concept-Video.

Mobile Versionen nicht betroffen

Skype ist das Problem mittlerweile bekannt. Betroffen sind die Versionen 5.3 und 5.5 für Windows, so das Unternehmen. An einem Fix wird gearbeitet. Wann ein entsprechendes Update verfügbar ist, steht noch nicht fest. Die Android- und iOS-Versionen des Messengers sind nicht betroffen, da diese nicht über Facebook-Integration verfügen. Spezifische Sicherheitsratschläge hat man derzeit nicht parat, Skype rät aber generell, bei der Auswahl von Kontakten Vorsicht walten zu lassen.

fkl (Quelle: pte)

http://www.st.gallen.ch/news/detail.asp?Id=502435

In Verbindung stehende Artikel: