Kritische Sicherheitslücke in Skype für Windows - vom 21.01.2008

In der Windows-Version des Messenger-Dienstes Skype befindet sich eine kritische Sicherheitslücke, die Angreifern ermöglicht, die Kontrolle über das ganze System zu übernehmen. Der Fehler befindet sich ausschließlich in der Windows-Version, da diese die JavaScript/ActiveX-Schnittstelle des Internet Explorers nutzt, wodurch Inhalte im Kontext der lokalen Zone aufgerufen werden können.

Angreifer können somit JavaScript-Code über manipulierte Video-Dateien einschleusen, da Skype ermöglicht, diese als Nachricht zu versenden. Dazu ist es nötig, dass der Angreifer Videos mit JavaScript-Code infiziert, was bei der Skype-Partnerseite Dailymotion laut Angaben von Skype ohne weiteres möglich ist. Dailymotion ist daher, zumindest bis ein Patch von Skype fertig gestellt ist, für die Verwendung in Nachrichten gesperrt.

Quelle: heise.de

Autor: sh