Skype mit neuem Loch in Windows-Version

Der IP-Telefonieanbieter Skype musste sich um eine neue kritische Lücke kümmern.

Skype musste eine Funktion vorübergehend deaktivieren, mit der die Nutzer Videos aus Partner-Sites von Skype an Nachrichten anhängen konnten. Eine Sicherheitslücke, die inzwischen geschlossen sein soll, zwang die Ebay-Tochter dazu.

Wie es hieß, sei die Verbindung zur Site Dailymotion unterbrochen worden. Mit anderen Partner-Sites habe es keine Probleme gegeben. Ursache sei eine Schwachstelle gewesen, die Angreifern die Kontrolle über Nutzer-PCs hätte geben können, teilte Skype mit. Dabei werden ein bestimmtes Suchort eingeschleust und das nächste Mal, wenn dies eingegeben wird oder eine Suchanfrage damit gestartet wird, geht die PC-Kontrolle an den Hacker, hieß es.

Ursache des Problems ist die Art, wie die externen Webseiten der Videoanbieter in seinem Auswahlfenster darstellt. Dazu nutzt es laut Fehlerbericht des Herstellers die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Angreifer müssen allerdings bei dieser niedrigsten Sicherheitsstufe Java-Script in Dailymotion-Sites einschleusen.

Bislang noch nicht andressiert ist aber augenscheinlich eine weitergehende Problematik. Diese soll, nach einem Blog des Security-Forschers Petko Petkov immer noch vorhanden sein und Hackern die Möglichkeit geben, beim Einloggen über ein öffentliches Netz an den Nutzer heranzukommen. Dieser könne es mit Spams, Kontrollverlust oder Social Engineering zu tun bekommen, sobald er populäre Suchbegriffe wie “Paris Hilton” verwende. Skype arbeitet sich derzeit laut einem Security Advisory in die Lecks ein.