Kritische Lücke in VoIP-Client Skype
Ein Update steht bereit. Beim Besuch einer präparierten Webseite konnte ein Angreifer Schadcode auf einen PC schleusen und mit den Rechten des Anwenders ausführen. Eine Infektion mit Schädlingen wäre so möglich gewesen.
- Daniel Bachfeld
Wie erst jetzt bekannt wurde, hat der Hersteller Skype in seiner gleichnamigen VoIP-Software für Windows in der Mitte November erschienenen Version 3.6 eine kritische Sicherheitslücke beseitigt. Beim Besuch einer präparierten Webseite konnte ein Angreifer Schadcode auf einen PC schleusen und mit den Rechten des Anwenders ausführen. Eine Infektion mit Schädlingen wäre so möglich gewesen.
Die Ursache des Fehlers lag nach Angaben der Zero Day Initiative in dem URI-Handler skype4com, der während der Installation von Skype angelegt wird. Demnach soll sich mit kurzen Zeichenketten eine Speicherverletzung in diesem Handler provozieren lassen, durch die sich Code in den Speicher schreiben ließ. Ob dieser Fehler möglicherweise erst mit dem Update für die kurz zuvor bekannt gewordene URI-Lücke Eingang in die Software fand, ist unbekannt. Bekannt ist allerdings, dass der Hersteller Skype ein weiteres Mal kritische Lücken klammheimlich schließt, ohne seiner Anwender zu informieren. Der letzte von Skype veröffentlichte Fehlerbericht stammt vom 3. Oktober 2006.
Anwender, die noch eine ältere Version von Skype einsetzen, sollten so schnell wie möglich auf die aktuelle Fassung aufrüsten. Üblicherweise bekommt man von Skype ohnehin einen Hinweis, dass eine neue Major-Version zur Verfügung steht. Sogar über Sicherheitsreleases soll die Software informieren – dazu muss sie allerdings von Skype auch als solche deklariert werden.
Siehe dazu auch:
- Skype skype4com URI Handler Remote Heap Corruption Vulnerability, Fehlerbericht von ZDI
(dab)
