Der Berliner Sicherheitsexperte Levent Kayan, im Internet besser als Noptrix bekannt, hat in der Windows-Version der VoIP-Software Skype eine neue Sicherheitslücke festgestellt. Die HTML (Javascript) Code Injection erlaubt das Einfügen unerlaubter Inhalte. Noch ist unklar, in welchem Umfang die neue Lücke ausgenutzt werden kann. Bis zum nächsten Update von Skype bleibt der Bug bestehen.
Letzte Nacht gab der Sicherheitsforscher Levent Kayan aka Noptrix schon wieder eine neue Sicherheitslücke von Skype bekannt. Vom Bug betroffen sind alle Windows-Versionen des Clients. Die HTML (Javascript) Code Injection ist möglich, weil die Ein- und Ausgabe der Profilangaben Home, Office und Mobile nicht ausreichend von der Software überprüft werden. Angreifer könnten HTML/Javascript Code einfügen und versuchen, die Cookies des Opfers zu erhalten oder sogar den betroffenen Rechner komplett zu übernehmen. Bislang ist aber nicht bewiesen, ob dies tatsächlich möglich ist.
Die Eingabe der betreffenden Felder muss intensiver überprüft und die Ausgabe von schädlichen Bestandteilen bereinigt werden. Der Proof of Concept in Form eines Screenshots kann der Webseite des in Berlin tätigen IT Security Engineers entnommen werden. Zur Behebung wird der Hersteller Microsoft eine neue Version seines Programmes für XP, Vista und Windows 7 veröffentlichen müssen.
Kayan hat in der Vergangenheit bereits zahlreiche Sicherheitslücken von ICQ, Adium, Skype und diversen Webseiten festgestellt und bekannt gemacht.
Quelle: Gulli