Hoch kritische Lücken in Skype
Insgesamt drei Begrenzungsfehler wurden in dem beliebten Voice-over-IP-Client Skype gefunden. Der erste entsteht, weil Skype-spezifische URI-Typen wie "callto://" und "skype://" falsch verarbeitet werden. Wenn ein Benutzer auf einen präparierten Link klickt, kann ein Angreifer so beliebigen Code auf dem System des Nutzers ausführen. Dasselbe Problem tritt mit VCARDs auf, auch diese werden nicht anständig überprüft. Diese beiden Lücken betreffen Skype bis Version 1.4.-.8.3 unter Windows.
Ein dritter Begrenzungsfehler taucht bei der Verarbeitung von bestimmtem Netzwerk-Traffic des Clients auf. Dies kann der Angreifer für einen Heap-basierten Pufferüberlauf nutzen, der den Skype-Client abstürzen lässt. Die letzte Sicherheitslücke betrifft sämtliche Versionen von Skype.
Für Mac OS, Linux und Windows stehen bereits aktualisierte Versionen als Update bereit, die Variante für Pocket PC lässt sich noch nicht updaten.
Sie interessieren sich für IT-Sicherheit? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.
Links zum Thema IT-Sicherheit |
Angebot |
---|---|
Bookshop |
|
eBooks (50 % Preisvorteil) |
|
Software-Shop |