Een patch voor een zeer ernstig beveiligingslek in de Mac-versie van Skype, is drie weken door de ontwikkelaar achtergehouden, waardoor Mac-gebruikers onnodig risico liepen. Via de kwetsbaarheid die een Australische beveiligingsonderzoeker ontdekte, was het mogelijk om via een speciaal bericht shell te krijgen en willekeurige code op de Mac van een slachtoffer uit te voeren. "Na veel moeite in het vinden van de juiste persoon, lukte het me om Skype te waarschuwen", zegt onderzoeker Gordon Maddern van Pure Security. Skype liet de onderzoeker weten dat het probleem in de volgende hotfix zou worden opgelost.

Op zes mei blogde Maddern dat dit al een maand geleden was en de update nog steeds ontbrak. "Een aanvaller hoeft het slachtoffer alleen een bericht sturen om controle over zijn Mac te krijgen. Het is zeer goed door wormen te misbruiken en gevaarlijk", waarschuwt Maddern.

De hotfix in kwestie was sinds halverwege april beschikbaar aldus Skype. Het besloot de update niet te verspreiden omdat het lek nog niet misbruikt werd. Toen de blogposting van Maddern verscheen, besloot Skype gebruikers wel te informeren. "Aangezien er geen berichten waren dat dit lek werd misbruikt, waarschuwden we onze gebruikers niet om deze update te installeren, aangezien er nog een update in de pijplijn zit die volgende week wordt verstuurd", aldus Adrian Asher.

Onverantwoordelijk
"Dit is een onverantwoordelijke actie van Skype. Elk bedrijf heeft de verantwoordelijkheid om een beveiligingsupdate zo snel als mogelijk uit te brengen en er niet mee te wachten omdat het lek nog niet wordt misbruikt. Skype kan sowieso niet weten dat dit lek wordt misbruikt, tenzij ze alle gebruikers monitoren, wat hopelijk niet het geval is", zegt Peter James van Mac-beveiligingsbedrijf Intego.

Inmiddels is er ook een link verschenen waar Mac-gebruikers de update kunnen vinden. Windows en Linux-versies zijn niet kwetsbaar.