Abo
  • Services:
Anzeige
Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Anzeige

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


eye home zur Startseite
LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Erlangen
  2. Deutsche Telekom Regional Services and Solutions GmbH, Biere
  3. Bosch Software Innovations GmbH, Waiblingen bei Stuttgart, Immenstaad am Bodensee
  4. ROHDE & SCHWARZ GmbH & Co. KG, München


Anzeige
Hardware-Angebote
  1. (Core i5-6500 + Geforce GTX 1060)
  2. ab 219,90€
  3. und Gears of War 4 gratis erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Iana-Transition

    US-Staaten wollen neue Internetaufsicht stoppen

  2. Tintenpatronensperre

    HP hält dem Druck nicht stand

  3. Generation EQ

    Mercedes stellt Elektro-SUV mit 500 km Reichweite vor

  4. Waipu TV im Hands on

    Das richtig flexible Internetfernsehen

  5. Twitch

    Amazon macht Streamer in Breakaway zu Matchmakern

  6. Autonomes Fahren

    Die Ethik der Vollbremsung

  7. Renault

    Elektroauto Zoe mit 41-kWh-Akku und 400 km Reichweite

  8. Leistungsschutzrecht

    Oettingers bizarre Nachhilfestunde

  9. Dating-Portal

    Ermittlungen gegen Lovoo werden eingestellt

  10. Huawei

    Mobilfunkbetreiber sollen bei GBit nicht die Preise erhöhen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Interview mit Insider: Facebook hackt Staat und Gemeinschaft
Interview mit Insider
Facebook hackt Staat und Gemeinschaft
  1. Systemüberwachung Facebook veröffentlicht Osquery für Windows
  2. Facebook 100.000 Hassinhalte in einem Monat gelöscht
  3. Nach Whatsapp-Datentausch Facebook und Oculus werden enger zusammengeführt

Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

X1D ausprobiert: Die Hasselblad für Einsteiger
X1D ausprobiert
Die Hasselblad für Einsteiger
  1. Modulares Smartphone Lenovo bringt Moto Z mit Moto Z Play nach Deutschland
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab

  1. Sieht aus wie der BMW i3

    FlowPX2 | 10:23

  2. Re: Ich falle doch immer wieder auf die...

    trapperjohn | 10:22

  3. Re: "Macht fast alles anders"

    Berner Rösti | 10:22

  4. Re: neumodisches Teufelszeug

    TrollNo1 | 10:22

  5. Wieder dieser SUV Mist

    Milchbengel | 10:21


  1. 09:55

  2. 09:36

  3. 09:27

  4. 09:00

  5. 08:43

  6. 07:57

  7. 07:39

  8. 18:17


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel