Codeeinschleusung: Neues Sicherheitsloch in Skype entdeckt
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Anzeige

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex

Kommentieren



Anzeige

  1. Projektmanager IT ERP Microsoft Dynamics Navision (m/w)
    über KÖNIGSTEINER AGENTUR GmbH, München
  2. Mitarbeiter / innen für den IT-Bereich
    Landeshauptstadt München, München
  3. Entwicklungsingenieur Elektronik (m/w)
    KSE GmbH, Ingolstadt
  4. Softwareentwickler / Developer / Programmierer C# (m/w)
    bayoonet AG, Darmstadt

 

Detailsuche


Folgen Sie uns
       


  1. iOS 8

    Apple entfernt Zugriff auf Daten durch Dritte

  2. Streaming-Box im Kurztest

    Fire TV läuft jetzt mit deutschen Amazon-Konten

  3. Apple

    Update auf iOS 8 macht das iPhone 4S träger

  4. Zoobotics

    Vier- und sechsbeinige Pappkameraden

  5. Mavericks

    Apple veröffentlicht letztes Update für OS X 10.9.5

  6. Amazon

    Der neue Kindle Voyage hat 300 ppi

  7. iPad Air 2 und iPad Mini 3

    Im Oktober sollen neue Apple-Produkte kommen

  8. Watchever und Dropbox

    Einige Apps haben Probleme mit iOS 8

  9. Apples iOS 8 im Test

    Das mittelmäßigste Release aller Zeiten

  10. Online-Handel

    Bei externen Händlern mit Amazon-Konto einkaufen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Physik: Zeitreisen ohne Paradoxon
Physik
Zeitreisen ohne Paradoxon
  1. Gehirnforschung Licht programmiert Gedächtnis um
  2. Neues Instrument Holometer Ist unser Universum zweidimensional?
  3. Sofia Der fliegende Blick durch den Staub

Doppelmayr-Seilbahn: Boliviens U-Bahn der Lüfte
Doppelmayr-Seilbahn
Boliviens U-Bahn der Lüfte

Intel Core i7-5960X im Test: Die PC-Revolution beginnt mit Octacore und DDR4
Intel Core i7-5960X im Test
Die PC-Revolution beginnt mit Octacore und DDR4
  1. Rory Read AMDs neue x86-Architektur Zen kommt 2015
  2. Intels Desktop-Chefin im Interview "Wir hatten unsere loyalsten Kunden frustriert"
  3. Intel Core i7-5960X X99-Mainboards angebrannt

    •  / 
    Zum Artikel