Skype schließt Sicherheitslücke
Der Filter zum Schutz vor dem Aufruf lokaler, ausführbarer Dateien kennt einige Dateitypen nicht. Zudem lässt er sich durch Großschreibung austricksen.
- Daniel Bachfeld
Skype hat eine neue Version seines gleichnamigen VoIP-Clients veröffentlicht, in der zwei Schwachstellen beseitigt sind. Zum Schutz vor dem Aufruf lokal gespeicherter, ausführbarer Dateien über die sogenannte file-URI (beispielsweise file:///C:/foobar.exe) hat die Windows-Version von Skype einen Filter implementiert. Allerdings warnt der Client nach Angaben von iDefense nur vor den Dateitypen .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl,.crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp und .js. Weitere potenziell gefährliche Dateitypen wie .pif, .vbs und .scr blockiert Skype nicht. Zudem prüft der Client den Dateitypen case-sensitiv: Mit einem einzigen Großbuchstaben trickst man den Filter bereits aus.
Für einen erfolgreichen Angriff muss allerdings zuvor eine präparierte Datei auf den Rechner des Opfers gelangen. Daher stuft Skype das Problem gemäß dem Common Vulnerability Assessment System (CVSS) auch nur mit 5.6 ein. Betroffen sind laut Skype alle Windows-Versionen bis einschließlich 3.8.*.115. In Version 3.8.0.139 ist der Fehler nicht mehr zu finden.
Siehe dazu auch:
- Skype File URI Security Bypass Code Execution Vulnerability, Fehlerbericht von Skype
- Skype File URI Security Bypass Code Execution Vulnerability, Fehlerbericht von iDefense
(dab)
