Computerworld News Service: En programmeringsfejl i eBays Skype blev rapporteret i tirsdags af sikkerhedsforskeren Aviv Raff.
Fejlen skyldes, at Skype benytter en Windows Internet Explorer-komponent til at behandle HTML. Fordi Skype ikke har indbygget strenge sikkerhedskontroller i softwaren, kan en hacker afkode systemet, og i sidste ende installere ondsindet software.
Problemet skyldes, at Skype kører IE-komponenten i det mindre sikre 'Local Zone'-sikkerhedsmode. På grund af dette vil hackere være i stand til at gøre 'alle mulige ting … som bl.a. at læse eller skrive filer fra lokale diske og ændre i dem', skriver sikkerhedsforsker Petko Petkov i en blog om emnet i torsdags.
Fejl på pålidelige websites
For at et angreb skal virke, må man først finde et pålideligt website, som indeholder en almindelig programmeringsfejl, en såkaldt 'cross zone scripting'-fejl.
Denne fejl vil give forbryderne mulighed for at narre Skype til at køre deres ondsindede software, som om det kom fra en pålidelig kilde.
I en video, som Aviv Raff havde lagt på sin blog, demonstrerer han, hvordan en 'cross zone scripting'-fejl på DailyMotion.com-websiden kunne narres til at køre Windows’ kalkulatorprogram ved at bruge Skypes 'Add video to chat'-feature.
"Brugeren behøver kun at gå på DailyMotion via Skypes ‘Add video to chat’-knap og falde over fejlen, der indeholder cross-site-vektoren," skriver Petko Petkov.
"Eller værre endnu: angriberne kan overlæsse sitet med ondsindede, kodede reklamer for at øge sandsynligheden for at inficere et offer," siger han.
"Denne slags angreb er meget let at udføre og det kræver stort set ingen forberedelser."
Også ældre versioner er sårbare
Fejlen rammer ifølge Aviv Raff den seneste version af Skype, version 3.6.0.244. Ældre versioner af softwaren kan også være i farezonen.
"Indtil Skype retter op på denne sårbarhed, anbefaler jeg, at man undlader at søge efter videoer i Skype," skriver han.
Det har endnu ikke været muligt at få en kommentar fra Skypes repræsentanter.
[i]Oversat af Alex Zichau Hertz[/i)
