Skype mit erneuter Sicherheitslücke

[Christoph]

Zitat:

Mitte letzter Woche erschien Version 5.5 des Skype Clients für VoIP. Gerade die groß herausgestellte Neuerung der tieferen Integration in das soziale Netzwerk Facebook erweist sich nun als Quelle neuer Sicherheitslücken.

Wie bereits angedeutet, ist nicht nur die aktuelle Version Skype 5.5 von der Lücke betroffen, sondern auch Skype 5.3.0.12. Der Berliner Sicherheitsexperte David Vieira-Kurz beschreibt auf der Website von Secalert, wie das Remote Session Hijacking funktioniert.

Ein Angreifer kann ohne großen Aufwand mittels eines Facebook-Pinnwand-Kommentars die Session eines Skype-Nutzers auszulesen und somit volle Kontrolle über dessen Session erlangen. Die Sicherheitslücke beruht darauf, dass der Skype-Client die aus Facebook stammenden Daten ungeprüft und unbereinigt übernimmt. Die Lücke funktioniert nicht nur zwischen befreundeten Nutzern, sondern bei jeder Person, die über einen Account bei Facebook verfügt.

Vieira-Kurz führt weiter aus: "Darüber hinaus kommt die Sicherheitslücke auch persistent nach dem erneuten Login des Opfers auf seinem Client, da direkt die Verbindung zu Facebook synchronisiert wird." Microsoft hat mittlerweile die Lücke bestätigt, die Einstufung des Risikos ist kritisch. Skype-Benutzer der Versionssreihen 5.3 und 5.5 sollten bis zu einer bereinigten Version die Facebook-Integration nicht benutzen. Viera-Kurz demonstriert das Session-Hijacking anschaulich in einem Video.

Quelle: http://www.pc-magazin.de/news/skype-...e-1165854.html