Hoch kritische Lücken in Skype

Angreifer können über drei Lücken Zugriff auf das System erhalten oder einen Denial of Service auslösen. Betroffen sind Skype-Versionen auf allen Betriebssystemen.

Insgesamt drei Begrenzungsfehler wurden in dem beliebten Voice-over-IP-Client Skype gefunden. Der erste entsteht, weil Skype-spezifische URI-Typen wie "callto://" und "skype://" falsch verarbeitet werden. Wenn ein Benutzer auf einen präparierten Link klickt, kann ein Angreifer so beliebigen Code auf dem System des Nutzers ausführen. Dasselbe Problem tritt mit VCARDs auf, auch diese werden nicht anständig überprüft. Diese beiden Lücken betreffen Skype bis Version 1.4.-.8.3 unter Windows.

Ein dritter Begrenzungsfehler taucht bei der Verarbeitung von bestimmtem Netzwerk-Traffic des Clients auf. Dies kann der Angreifer für einen Heap-basierten Pufferüberlauf nutzen, der den Skype-Client abstürzen lässt. Die letzte Sicherheitslücke betrifft sämtliche Versionen von Skype.

Für Mac OS, Linux und Windows stehen bereits aktualisierte Versionen als Update bereit, die Variante für Pocket PC lässt sich noch nicht updaten.

Sie interessieren sich für IT-Sicherheit? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner