Web-Sicherheit

Juli 17, 2011

Cross-Site-Scripting-Schwachstelle in Skype entdeckt

Filed under: Allgemein — sebastiankuebeck @ 12:53
Tags: , , , , ,

Wie es aussieht kann man bei Skype JavaScript-Code in das Benutzerprofil einschleusen (siehe Public Security Advisory). Dieser Code wird dann im Browser aller jener Benutzer ausgeführt, die ein derart präpariertes Skype-Profil angezeigt bekommen. Die Ursache dafür ist, dass Skype die Profildaten beim Anzeigen nicht richtig kodiert. So kann ein Angreifer alles, was der legitime Benutzer zu sehen bekommt, manipulieren und so allerlei Unfug anstellen wie beispielsweise Nachrichten im Namen des Benutzers verschicken. Im schlimmsten Fall könnte man – so die Entdecker – auch Schadcode auf dem Rechner des Opfers einschleusen. Diese Art Schwachstelle wird Cross-Site-Scripting-Schwachstelle (sie werden oft mit XSS abgekürzt) genannt, sie ist seit vielen Jahren bekannt und gehören zur Zeit zur zweithäufigsten Art von Schwachstellen in Webanwendungen (siehe die aktuelle WASC-Statistik) – deshalb habe ich ihr ein umfangreiches Kapitel in meinem Buch gewidmet.

Schützen kann man sich dagegen leider nicht, man muss also warten, bis Skype das Problem durch ein Update korrigiert, allerdings funktioniert ein Angriff – so ein Blog-Post von Adrian Asher von Skype – nur, wenn man den Benutzer mit dem manipulierten Profil als Kontakt bestätigt hat. Es empfiehlt sich daher, neue Kontakte sorgfältig zu prüfen (beispielsweise durch einen Anruf) bevor man sie bestätigt.

Cross-Site-Scripting-Schwachstellen im Zusammenhang mit Benutzerprofilen wurden in den letzten Jahren unter anderem auf Twitter und Facebook festgestellt und ausgenützt, daher ist wirklich traurig, dass Skype nichts aus diesen Vorfällen gelernt hat. Das folgende Video demonstriert, wie man diese Schwachstelle ausnutzen kann:

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: