Kritische Sicherheitslücke im neuen Skype 5.5

Die Entwickler der bekannten VoIP-Software Skype haben in der nur wenige Stunden alten Version 5.5 diverse Fehler gemacht, die nun für mehrere Sicherheitslücken sorgen. Laut einem Sicherheitsexperten erfolgte die Facebook-Integration unsauber. Siehe auch: Skype 5.5 mit tiefer Facebook-Integration und mehr

Der Sicherheitsberater David Vieira-Kurz informiert in seinem Blog darüber, dass die Sicherheitslücken von einem Angreifer ausgenutzt werden können, um die vollständige Kontrolle über ein System zu übernehmen. Dazu muss lediglich ein speziell präparierter Kommentar auf die Facebook-Pinnwand des Opfers geschrieben werden. Ruft Skype diesen ab, werden die Daten nicht ausreichend überprüft und die Session des Opfers kann ausgelesen werden. "Die Schwachstelle beruht darauf, dass der Skype-Client die aus Facebook stammenden Daten nicht escaped, sprich vor der Ausgabe bereinigt", schreibt Vieira-Kurz.


Besonders gefährlich ist die Lücke, da Opfer und Angreifer weder bei Facebook noch bei Skype befreundet sein müssen. Es reicht aus, wenn sie die gleiche Gruppe oder Fanpage mögen ("Like"). Dort können dann Kommentare veröffentlicht werden, die bis zum Opfer weitergeleitet werden. "Darüber hinaus kommt die Sicherheitslücke auch persistent nach dem erneuten Login des Opfers auf seinem Client, da direkt die Verbindung zu Facebook synchronisiert wird", erklärt der Sicherheitsberater.

In einem Video hat er die Ausnutzung der Schwachstelle dokumentiert. Solange die Skype-Entwickler die Schwachstelle nicht beseitigen, sollte man darauf verzichten, in der VoIP-Software eine Verbindung zu Facebook herzustellen.