Skype

XSS-Sicherheitslücke soll bald beseitigt sein

Skype arbeitet an der Beseitigung einer kürzlich in Skype für Windows entdeckten Sicherheitslücke. Mittels der Cross-Site-Scripting-Schwachstelle (XSS) könnten Angreifer Nutzerprofile zum Aufruf von schadhaften Webseiten oder Schadcode verwenden.

Artikel veröffentlicht am ,
XSS-Lücke in Skype
XSS-Lücke in Skype (Bild: Levent 'Noptrix' Kayan)

Skype bestätigte im eigenen Sicherheitsblog, dass die Windows-Version der VoIP- und Videotelefoniesoftware eine Cross-Site-Scripting-Schwachstelle (XSS) aufweist. In bestimmten Feldern der Nutzerprofile könnte Code eingeschleust und damit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden. So könnten Nutzer auf Webseiten mit Schadsoftware gelenkt werden. Laut Skype funktioniert das nur mit bereits akzeptierten Kontakten.

 
Video: Skype - XSS-Lücke vom Juli 2011 in Aktion

Stellenmarkt
  1. Systemadministrator (m/w/d)
    GRIMME Landmaschinenfabrik GmbH & Co. KG, Damme
  2. Manager Platform Software (m/w/d)
    Knorr-Bremse AG, Schwieberdingen bei Stuttgart
Detailsuche

Der Berliner Entwickler und Sicherheitsexperte Levent "noptrix" Kayan hatte die XSS-Schwachstelle in Skype gefunden und beschrieben. Seinen Ausführungen zufolge ist es damit auch möglich, sämtliche Session-IDs von anderen Skype-Nutzern auszulesen und neben dem Skype-Client auch Windows zu kompromittieren. Vulnerability-Lab.com zeigt die Sicherheitslücke in einem Youtube-Video in Aktion.

  • Die XSS-Lücke in Skype für Windows in Aktion (Bild: Levent 'Noptrix' Kayan)
Die XSS-Lücke in Skype für Windows in Aktion (Bild: Levent 'Noptrix' Kayan)

Skype hat mitgeteilt, die XSS-Lücke Anfang dieser Woche in den Skype-Clients für Windows zu beseitigen. Dazu muss der Skype-Client nicht aktualisiert werden, da die Korrektur auf den Skype-Servern stattfindet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cybermonday
CPU-Kaufberatung für Spieler

Wir erklären, wann sich ein neuer Prozessor wirklich lohnt und wann man doch lieber warten oder in eine Grafikkarte investieren sollte.
Von Martin Böckmann

Cybermonday: CPU-Kaufberatung für Spieler
Artikel
  1. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. Wo Long Fallen Dynasty Vorschau: Souls-like mit Schwertkampf in China
    Wo Long Fallen Dynasty Vorschau
    Souls-like mit Schwertkampf in China

    Das nächste Souls-like heißt Wo Long: Fallen Dynasty und stammt von Team Ninja. Golem.de hat beim Anspielen mehr Gegner erledigt als erwartet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /