Sicherheitslücken in Skypes VoIP-Software
Kaum meldet das BSI, dass VoIP derzeit unsicher ist, tritt Skype den Beweis dafür an -- mit drei schwerwiegenden Sicherheitslücken, die Einschmuggeln und Ausführen von fremdem Code erlauben.
Kaum meldet das BSI, dass VoIP derzeit unsicher ist, tritt Skype den Beweis dafür zumindest im Bereich Softwarefehler an — mit drei schwerwiegenden Sicherheitslücken, die Einschmuggeln und Ausführen von fremdem Code wie etwa Viren, Würmer und Trojaner erlauben. Der erste Pufferüberlauf kann durch manipulierte Skype-URIs der Form callto:// beziehungsweise skype:// auftreten. Ein zweiter Pufferüberlauf kann durch den Import von präparierten Skype-Visitenkarten ausgelöst werden. Diese beiden Lücken betreffen nur die Windows-Versionen 1.1.*.0 bis 1.4.*.83 der Internet-Telefonie-Software.
Die Entwickler weisen darauf hin, dass diese Fehler auf einen Bug in Borland Delphi zurückzuführen sind, den das Borland Developer Network dokumentiert. Schon in der Vergangenheit fand über diesen Bug ein kritischer Fehler den Weg in den VoIP-Client.
Mit bestimmten Netzwerk-Paketen könnte ein Angreifer in den Skype-Clients für Linux (bis einschließlich Version 1.2.*.17), Mac OS X (Version 1.3.*.16 und frühere), PocketPC (Version 1.1.*.6 und davor) und Windows (bis einschließlich Version 1.4.*.83) durch fehlerhafte Längenprüfungen ein Überschreiben des Heaps provozieren. Dies kann zum Absturz des Clients führen. Den Skype-Entwicklern ist es laut ihrer Sicherheitsmeldung jedoch nicht gelungen, Code über die Lücke einzuschleusen und auszuführen — was aber nicht bedeutet, dass dies nicht möglich wäre.
Auf den Download-Seiten des Unternehmens stehen neue Programmversionen für alle Plattformen bereit. Skype-Nutzer sollten umgehend auf diese Versionen aktualisieren, um ihr System nicht unnötig zu gefährden.
Siehe dazu auch: (dmk)
- Security Advisory von Skype: VCARD Import und präparierte URIs
- Security Advisory von Skype: Heap-Überlauf in Netzwerkroutinen
- Download-Seite von Skype
