Skype 5.5 kann ein Sicherheitsrisiko sein

„Wir freuen uns, euch mitteilen zu können, dass die neueste Skype 5.5 Version für Windows ab heute zum Download zur Verfügung steht.“ Mit diesem Text wurde das neue Skype 5.5 für Windows gerade erst auf dem deutschen Skype-Block mit jeder Menge Neuerungen angepriesen.

Skype 5.5 soll vor allem die Integration von Facebook verbessern. Es bietet dem Anwender nun die Möglichkeit direkt von Skype aus festzustellen, ob Facebook-Freude online sind und man kann dann gleich von dort aus mit ihnen chatten. Außerdem kann man nun direkt vom Skype aus Facebook Statusmeldung sehen und aktualisieren. Zudem wurden noch einige Updates vorgenommen und die Qualität der Videoanrufe verbessert.

Nach einer Überprüfung hat der Sicherheitsexperte David Vieira-Kurz allerdings mehrere kritische Sicherheitslücken festgestellt. Er bemängelt die unsaubere Programmierung, die es Angreifern auf sehr leichte Weise ermöglicht, die vollständige Kontrolle über die Skype-Clients anderer Nutzer zu erhalten. Dazu müsse der Angreifer lediglich einen speziell präparierten Kommentar auf eine beliebige Facebook-Pinnwand setzen. Denn Skype prüft die von Facebook stammenden Daten nur unzureichend. Opfer und Angreifer müssten dafür noch nicht mal bei Facebook miteinander befreundet sein. Es genüge bereits, wenn beide Fans der gleichen Facebook-Seite sind. Wenn Kommentare auf dieser Seite für jeden Fan lesbar sind, kann der Angreifer darüber einen manipulierten Kommentar einstellen und das Opfer erreichen. Vieira-Kurz stuft das Risiko als kritisch ein. Die Schwachstelle beruhe darauf, dass der Skype-Client die aus Facebook stammenden Daten nicht prüft und bereinigt.

Update: Inzwischen wurde festgestellt, dass die entdeckte Schwachstelle nicht erst durch das 5.5-Update in Skype gelangt ist. Auch die bisherige Version 5.3.0.120 ist von dem Fehler betroffen. Bis das Problem behoben ist, sollte man die Facebook-Funktionen besser nicht benutzen.