Schwerwiegende Lücke im Teamspeak-Server offengelegt
Angreifer können über die aktuelle Version des Teamspeak-Servers Schadcode einschleusen und auf dem Server ausführen. Es gibt momentan keinen Patch.
- Fabian A. Scherschel
Ein Sicherheitsforscher hat eine Reihe von Lücken im vor allem bei Gamern beliebten VoIP-Programm Teamspeak gefunden. Betroffen ist der Server in der aktuellen Software-Version 3.0.13.x. Laut der Bekanntmachung der Lücke auf der Sicherheits-Mailingliste Full Disclosure kann ein Angreifer durch Missbrauch der Schwachstellen beliebigen Code aus der Ferne auf den Server laden und dann unter anderem Teamspeak-Admin-Rechte bekommen und Code auf dem unterliegenden Betriebssystem ausführen.
Einen funktionierenden Exploit will der Forscher erst mal nicht bereitstellen. Er schätzt es als unwahrscheinlich ein, dass andere Hacker mit Hilfe seiner Beschreibung die Lücke ausnutzen können, bevor Teamspeak einen Patch veröffentlicht hat. Der Angriff sei "recht kniffelig". Allerdings hat er die Entwickler nach eigenen Angaben nicht vor der Veröffentlichung gewarnt. Die Teamspeak-Entwickler täten Sicherheitslücken als einfache Abstürze ab und zensierten das eigene Forum, erklärte der Forscher. Damit wäre er nicht glücklich. Außerdem fürchtete er wohl rechtliche Konsequenzen, hätte er die Details gegenüber der Firma offengelegt.
Wer genau hinter der Veröffentlichung steckt, ist nicht klar. Der Forscher nennt sich selbst "ff214370685e536b9ee021c7ff6b7680bfbe6008bc29f87511b6b90256043536" und die Full-Disclosure-Mail stammt von einem gewissen "Hanz Jenson" – ob es sich dabei um ein und dieselbe Person handelt, ist nicht klar. Einen Patch für die Lücke gibt es bisher nicht. (fab)
