Abo
  • Services:
Anzeige
Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Anzeige

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


eye home zur Startseite
LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex



Anzeige

Stellenmarkt
  1. Wanzl Metallwarenfabrik GmbH, Leipheim
  2. Goodyear Dunlop Tires Germany GmbH, Fulda, Hanau
  3. Vodafone GmbH, Düsseldorf
  4. über Robert Half Technology, München


Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)
  3. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. SSD

    Crucial erweitert MX300-Serie um 275, 525 und 1.050 GByte

  2. Shroud of the Avatar

    Neustart der Ultima-ähnlichen Fantasywelt

  3. Spielekonsole

    In Nintendos NX stecken Nvidias Tegra und Cartridges

  4. Nach Terroranschlägen

    Bayern fordert Ausweitung der Vorratsdatenspeicherung

  5. Android-Smartphone

    Update soll Software-Probleme beim Oneplus Three beseitigen

  6. Tim Sweeney

    "Microsoft will Steam zerstören"

  7. Störerhaftung weg

    Kommt nun der Boom für offene WLANs?

  8. Fusion mit Hailo

    Mytaxi wird zum größten App-basierten Taxivermittler Europas

  9. AG600

    China baut größtes Wasserflugzeug der Welt

  10. Telltale Games

    2.000 Batman-Spieler treffen die Entscheidungen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Pilotprojekt EU will Open Source sicherer machen
  2. Vodafone EasyBox 804 Angeblich Hochladen von Schadsoftware möglich
  3. Cyber Grand Challenge Finale US-Militär lässt Computer als Hacker aufeinander los

Core i7-6820HK: Das bringt CPU-Overclocking im Notebook
Core i7-6820HK
Das bringt CPU-Overclocking im Notebook
  1. Stresstest Futuremarks 3DMark testet Hardware auf Throttling

  1. Re: Selbst schuld

    Emulex | 19:47

  2. Re: Nintendo GO

    Spiritogre | 19:46

  3. Re: Wäre der Täter abgeschoben worden (Asylantrag...

    Mingfu | 19:46

  4. Ultima als Immobilienmaklereisimulation?

    demon driver | 19:45

  5. Re: Frage

    Spiritogre | 19:44


  1. 18:13

  2. 18:06

  3. 17:37

  4. 16:54

  5. 16:28

  6. 15:52

  7. 15:37

  8. 15:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel