Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Anzeige

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex

Kommentieren



Anzeige

  1. Teamleiter/in Technical After Sales Support
    Bosch Sicherheitssysteme Engineering GmbH, Nürnberg
  2. Systementwickler Software / Hardware (m/w)
    Preh GmbH, Bad Neustadt a.d. Saale
  3. Product Owner (m/w)
    TeamViewer GmbH, Göppingen
  4. Projekt- und Prozessmanager (m/w)
    M-net Telekommunikations GmbH, München

 

Detailsuche


Blu-ray-Angebote
  1. A.I. - Künstliche Intelligenz (Steelbook) (exklusiv bei Amazon.de) [Blu-ray] [Limited Edition]
    14,99€
  2. Der Hobbit: Die Schlacht der fünf Heere (Steelbook) [Blu-ray] [Limited Edition]
    32,99€ - Release 23.04.
  3. Schindlers Liste - 20th Anniversary Edition [Blu-ray] [Limited Edition]
    9,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Volker Kauder

    Mehr deutsche Teststrecken für selbstfahrende Autos gefordert

  2. Wearable

    Smartwatch Olio soll vor Benachrichtigungsflut schützen

  3. Macbook Pro 13 Retina im Test

    Force Touch funktioniert!

  4. Festo

    Das große Krabbeln

  5. Apple-Chef

    Tim Cook will irgendwann sein gesamtes Vermögen spenden

  6. Spielebranche

    Jedes dritte PC- und Konsolen-Spiel als Download gekauft

  7. MSI 970A SLI Krait Edition

    Erstes AMD-Mainboard mit USB 3.1 vorgestellt

  8. Milestone Studios

    Moto GP 15 bietet neue Karriere

  9. Rockstar Games

    GTA 5 hat Grafikprobleme

  10. Online-Bezahlverfahren

    Deutsche Banken wollen Paypal-Konkurrenten entwickeln



Haben wir etwas übersehen?

E-Mail an news@golem.de



Episode Duscae angespielt: Final Fantasy ist endlich wieder zeitgemäß
Episode Duscae angespielt
Final Fantasy ist endlich wieder zeitgemäß
  1. Test Final Fantasy Type-0 HD Chaos und Kampf

Galaxy S6 im Test: Lebe wohl, Kunststoff!
Galaxy S6 im Test
Lebe wohl, Kunststoff!
  1. Galaxy S6 Active Samsungs wasserdichtes Topsmartphone
  2. Galaxy S6 und S6 Edge Samsung meldet 20 Millionen Vorbestellungen
  3. Galaxy S6 und S6 Edge im Hands on Rund, schnell, teuer

Banana Pi M2 angesehen: Noch kein Raspberry-Pi-Killer
Banana Pi M2 angesehen
Noch kein Raspberry-Pi-Killer
  1. MIPS Creator CI20 angetestet Die Platine zum Pausemachen
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern

  1. Re: Gekauft

    peter_pan | 12:48

  2. Re: Was zum Anfassen.

    DestroyBlade | 12:48

  3. Re: BG3?

    timo.w.strauss | 12:46

  4. Re: Künstliche Argumente für PC-Version?

    leipsfur | 12:46

  5. Re: Kunststück!

    DestroyBlade | 12:45


  1. 12:43

  2. 12:12

  3. 12:03

  4. 12:02

  5. 11:50

  6. 11:10

  7. 10:42

  8. 10:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel