Computerworld News Service: En fejl i Skypes videosoftware, der første gang blev rapporteret om i sidste uge af sikkerhedsekspert Aviv Raff, stammer fra den måde, Skype bruger en Internet Explorer-komponent til at indlæse html.
Skypes videodelings-feature lader brugere dele videoer, som kan lægges op på to sites – Dailymotion.com og Metacafe.com – alt imens de chatter med andre Skype-brugere.
Raff demonstrerede i sidste sidste uge, hvordan angribere kunne udnytte fejlen til at køre uautoriseret software på en Skype-brugers computer. Men tirsdag sagde sikkerhedseksperten, at fejlen er mere seriøs end først antaget.
Den kan "udløses ved blot at besøge et website eller klikke på et link i dit instant messaging-program," skriver han i et blog-indlæg, "hvilket grundlæggende betyder, at fejlen faktisk er sårbar overfor orme."
Meddelelse
Skype har tilsyneladende pillet video-featuren ud af sit klient-software på grund af fejlen. Brugere, der prøver at klikke på 'vdeo'knappen i et chat-vindue bliver modtaget med en meddelelse om, at featuren er utilgængelig 'på grund af nogle bekymringer for sikkerheden'.
"Vores skarpeste teknikere rasler med svensknøglerne for at gøre alting godt igen og bringe de elskede videoer tilbage. Snart," står der i meddelelsen. "Undskyld for det her."
Repræsentanter for Skype besvarer ikke opkald om kommentarer. Sidste uge bekræftede talsmand for Skype, Villu Arak, at der var et sikkerhedsproblem for brugere af Skype 3.5 og 3.6, som besøger Dailymotion.com, men brugere havde stadig mulighed for at dele videoer på Metacafe.com.
I en meddelelse skriver virksomheden, at den forventer, at Metacafes videoer er til rådighed for Skype-brugere igen i løbet af onsdag.
Aviv Raff udtaler, at idet angrebet kan føre til et omsiggribende ormeudbrud, vil det være at foretrække, at Skype først ordner det underliggende problem, før Metacafe bringes tilbage.
Raff tror, at Dailymotion sandsynligvis lige så vel er sårbar for denne type angreb, selvom han har været ude af stand til at bekræfte dette, efter Skype afskar adgang til sitet.
IE's lokale zone
Problemet ligger i, at Skype bruger en Windows Internet Explorer-komponent med utilstrækkelige sikkerhedsindstillinger, udtaler eksperter.
I stedet for at behandle sider der indlæses med den mere sikre 'internet zone' sikkerhedsindstilling, bruger Skype Internet Explorers 'lokale zone' sikkerhedsindstilling, som normalt kun bruges til mere pålideligt indhold.
Indtil Skypes teknikere foretager nogle ændringer i deres software, vil flere af disse problemer vise sig, siger Raff.
En anden sikkerhedsekspert, som har studeret denne fejl er enig.
"Hvis de bliver ved at lade deres Skype-klient køre i Internet Explorers lokale zone, vil vi se flere af disse," siger Petko Petkov fra GNU Citizen via instant message.
"Enhver, der havde Metacafes server i sin hule hånd, havde forud for nedlukningen potentielt samtlige Skype-brugere på planeten i sin hule hånd."
Oversat af Thomas Bøndergaard
