Sicherheitslücke in Skype erlaubt Löschen von XML-Dateien

Der Sicherheitsspezialist hat eine Sicherheitslücke in der Internet-Telefon-Software Skype gemeldet. Angreifer können die Lücke ausnutzen, um XML-Dateien auf dem PC des Anwenders zu löschen.

Die Sicherheitslücke befindet sich im Skype Extras Manager (skypePM.exe). Betroffen ist die Version 2.0.0.67 des Extra Managers, der mit Version 4.2.0.155 von Skype mitgeliefert wird. Secunia schließt nicht aus, dass auch andere Versionen des Extra Managers betroffen sind. Entdeckt wurde die Sicherheitslücke bereits im Juli 2009. Eine Sicherheitsaktualisierung steht bisher nicht bereit.

Die Sicherheitslücke kann von Angreifern mit Hilfe speziell präparierter Webseiten ausgenutzt werden. Wenn Anwender eine solche Webseite besuchen, können von dort aus XML-Dateien auf dem Anwender-PC gelöscht werden. Dazu muss der Angreifer allerdings den Speicherort der XML-Datei kennen.

Secunia empfiehlt, bis zur Lösung des Problems das Skype-Plug-in zu deaktivieren. Im Firefox-Browser lassen sich Plug-ins im Menü "Extras", Untermenü "Add-ons", deaktivieren. Im Internet Explorer findet sich die Option im Menüpunkt "Extras", Untermenü "Add-ons verwalten".