Anzeige
Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Anzeige

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


eye home zur Startseite
LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex

Kommentieren



Anzeige

  1. Senior Security-Architekt (m/w) für Metering-Systeme
    Diehl Metering GmbH, Nürnberg
  2. Teamleiter Software-Entwicklung (m/w)
    GIGATRONIK Köln GmbH, Köln
  3. Diagnoseautor (m/w) After-Sales
    Bertrandt Technikum GmbH, Ehningen
  4. Softwareentwickler (m/w) Multisensorielle Objekterkennung Fahrerassistenzsysteme
    Elektronische Fahrwerksysteme GmbH, Ingolstadt

Detailsuche



Anzeige
Spiele-Angebote
  1. VORBESTELLBAR: Titanfall 2 "Marauder Corps" Collectors Edition Merchandise - ohne Spiel
    99,99€
  2. VORBESTELLBAR: Battlefield 1 - Collector's Edition [PC & Konsole]
    209,99€/219,99€ (Vorbesteller-Preisgarantie)
  3. VORBESTELLBAR: Battlefield 1 [PC]
    49,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Millionenrückzahlung

    Gericht erklärt Happy Birthday für gemeinfrei

  2. Trials of the Blood Dragon im Test

    Motorräder im B-Movie-Rausch

  3. Raumfahrt

    Kepler Communications baut Internet für Satelliten

  4. Klage zum Leistungsschutzrecht

    Verlage ziehen gegen Google in die nächste Runde

  5. Wileyfox Spark

    Drei Smartphones mit Cyanogen OS für wenig Geld

  6. Sound BlasterX H7

    Creative erweitert das H5-Headset um Surround-Sound

  7. Datenschutz

    Facebook trackt Standort der Nutzer um Freunde vorzuschlagen

  8. Microsoft

    Plattformübergreifendes .Net Core erscheint in Version 1.0

  9. Mobbing auf Wikipedia

    Content-Vandalismus, Drohungen und Beschimpfung

  10. Patentstreitigkeiten

    Arista wirft Cisco unfaire Mittel vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

  1. Re: Ich bin gespannt auf Zen (und Bristol Ridge)...

    Seismoid | 15:11

  2. Re: Demnächst Stickstoffgekühlt

    Quantium40 | 15:11

  3. Re: die kommen zurück

    robinx999 | 15:10

  4. Re: Zu groß und Cyanogen enttäuscht auf ganzer...

    v2nc | 15:10

  5. Re: So läuft es bei Wikipedia wirklich...

    david_rieger | 15:09


  1. 14:47

  2. 14:00

  3. 13:42

  4. 13:32

  5. 13:23

  6. 13:07

  7. 12:51

  8. 12:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel