Weitere Sicherheitslücke in Skype 5.5 entdeckt

Die neue Skype-Version 5.5 bietet zwar einige neue Funktionen, ist aber nicht frei von Sicherheitslücken. Der Sicherheitsexperte Levent Kayan alias //www.noptrix.net/advisories.html:Noptrix hat wieder eine neue Schwachstelle entdeckt. Offenbar wird die Ein- und Ausgabe von Daten zum Nutzerprofil, etwa für private und berufliche Rufnummern sowie die Handynummer nicht ausreichend geprüft. Angreifer können dadurch gefährlichen HTML- oder JavaScript-Code einschleusen und verbreiten. Noch ist nicht klar, welche Angriffe dadurch ausgeführt werden können. Denkbar ist beispielsweise das Auslesen von Cookie-Daten. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bisher nicht bestätigt. Insofern ist auch keine konkrete Einstufung des Gefahrenpotentials möglich.

Laut Kayan dürfte diese Sicherheitslücke auch in früheren Skype-Versionen enthalten sein. Seinen Erkenntnissen nach ist allerdings nur die Windows-Version von Skype betroffen.

Wann mit einem neuen Skype-Update zur Behebung der Sicherheitslücke zu rechnen ist, wurde noch nicht bekannt gegeben. Kayan empfiehlt Skype auf alle Fälle eine intensive Überprüfung der Eingabefelder, um künftig die Möglichkeit der Schadcode-Einschleusung zu verhindern.

Es ist gerade mal ein paar Wochen her, da hatte Levent Kayan eine andere Schwachstelle in Skype entdeckt. Darüber konnten auf dem Rechner beliebige Webseite aufgerufen werden. Diese Sicherheitslücke wurde aber bereits behoben.