Anzeige
Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Anzeige

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


eye home zur Startseite
LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex

Kommentieren



Anzeige

  1. Webentwickler/-in
    ALPLA Werke Alwin Lehner GmbH & Co KG, Hard (Österreich)
  2. Softwareentwickler Java / Webentwickler (m/w)
    syncpilot GmbH, Puchheim bei München
  3. IT-Supporter/in
    WALDORF FROMMER, München
  4. Trainee Requirements Engineer (m/w) Cloud Produkte
    Haufe Gruppe, Freiburg im Breisgau

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: Batman v Superman: Dawn of Justice Ultimate Collector's Edition (inkl. 3D-Steelbook & Batman Figur) (exklusiv bei Amazon
    139,99€
  2. VORBESTELLBAR: X-Men Apocalypse [Blu-ray]
    19,99€ (Vorbesteller-Preisgarantie)
  3. 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)

Weitere Angebote


Folgen Sie uns
       


  1. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  2. Model S

    Teslas Autopilot verursacht Auffahrunfall

  3. Security

    Microsoft will Passwort 'Passwort' verbieten

  4. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  5. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  6. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  7. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  8. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!

  9. Zcryptor

    Neue Ransomware verbreitet sich auch über USB-Sticks

  10. LTE-Nachfolger

    Huawei schließt praktische Tests für Zukunftsmobilfunk ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Java-Rechtsstreit Oracle verliert gegen Google
  2. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  2. Project Spark Microsoft stellt seinen Spieleeditor ein
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Intels Compute Stick im Test: Der mit dem Lüfter streamt (2)
Intels Compute Stick im Test
Der mit dem Lüfter streamt (2)
  1. Stratix 10 MX Alteras Chips nutzen HBM2 und Intels Interposer-Technik
  2. Apple Store Apple darf keine Geschäfte in Indien eröffnen
  3. HBM2 eSilicon zeigt 14LPP-Design mit High Bandwidth Memory

  1. Re: Google hat die GPL getötet

    Lord Gamma | 22:06

  2. Re: Vectoring verhindert Wettbewerb.

    DrWatson | 21:58

  3. Re: Nein.

    Opferwurst | 21:56

  4. Re: Erschreckend

    azeu | 21:53

  5. Re: Gute Nummer!

    M3SHUGGAH | 21:53


  1. 14:15

  2. 13:47

  3. 13:00

  4. 12:30

  5. 11:51

  6. 11:22

  7. 11:09

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel