Aufgrund einer
kritischen Sicherheitslücke in der Windows-Version von Skype hat der gleichnamige Hersteller eine Funktion deaktiviert, mit der Anwender Videos zu Nachrichten hinzufügen können. Damit lassen sich nun keine Videos mehr von der Partner-Seite
Dailymotion zu Skype Moods und Chats einbinden. Der Zugriff mit Skype auf Videos von
Metacafe ist weiterhin möglich.
Die Maßnahme war notwendig geworden, da Ende vergangener Woche Informationen über eine Schwachstelle in Skype auftauchten, mit der Angreifer unter Umständen die Kontrolle über einen PC übernehmen können. Ursache des Problems ist die Art, wie Skype die externen Webseiten der Videoanbieter in seinem Auswahlfenster darstellt. Dazu nutzt es laut Fehlerbericht des Herstellers die HTML-Render-Engine beziehungsweise die JS/ActiveX-API des Internet Explorer. Allerdings läuft der Inhalt dabei im Kontext der lokalen Zone, also mit den höchsten Rechten respektive den geringsten Restriktionen.
Um die Lücke ausnutzen zu können, muss ein Angreifer in der Lage sein, in die Partnerseiten Dailymotion oder Metacafe eigenes JavaScript einzuschleusen. Genau dies ist bei Dailymotion der Fall: Beim Einstellen der Videos ist es möglich, etwa in den Titel des Videos JavaScript-Code hineinzuschreiben und so eine Cross-Site-Scripting-Attacke durchzuführen. Skype hat zu der Schwachstelle ein
Security Advisory veröffentlicht, in dem ein Patch angekündigt wird. Bis dahin lassen sich mit dem Skype-Client keine Videos von Dailymotion aufrufen. Wie genau der Hersteller dies bewerkstelligt hat, lässt der Bericht offen. Betroffen sind laut Bericht Skype 3.5.x und 3.6.x.
Ob zusätzlich der Anbieter Dailymotion Maßnahmen ergreift, um die eingestellten Informationen besser zu filtern, ist nicht bekannt.
Links:
-
Quelle
-
Fehlerbericht von Skype