Sicherheits-Patch für Skype

Neue Windows-Version mit Fehlerkorrekturen

Nachdem Skype vor rund zwei Wochen zunächst den Video-Zugriff auf Dailymotion und später auch den auf Metacafe deaktiviert hatte, um ein Sicherheitsleck zu umgehen, steht nun eine aktualisierte Skype-Version bereit, um diesen Fehler zu korrigieren. In diesem Zusammenhang wurde auch das Sicherheitsleck geschlossen, das im Zusammenspiel mit SkypeFind auftrat.

Artikel veröffentlicht am ,

Skype nutzt die Rendering-Engine des Internet Explorer und damit auch die JavaScript-Funktionen des Browsers, um Videodaten aus Dailymotion oder Metacafe in Chats oder in Skype Moods einzubinden. Hierbei erhält die aufgerufene Webseite durch eine Sicherheitslücke in Skype vollen Zugriff auf die lokale Internetzone. Ein Angreifer kann darüber die Kontrolle über ein fremdes System erlangen.

Stellenmarkt
  1. Full Stack Entwickler:in (Java / JavaScript) - automatisierte Lohnabrechnung (w/d/m)
    Haufe Group, Freiburg im Breisgau, Leipzig, Home-Office
  2. Junior Software Developer (w/m/d) Automatisierung
    AIXTRON SE, Herzogenrath
Detailsuche

Grund dafür ist eine Cross-Zone-Scripting-Sicherheitslücke, die auch im Zusammenspiel mit der Skype-Find-Funktion auftritt, die ebenfalls auf die Rendering-Engine des Internet Explorer setzt. Angreifer können darüber beliebigen JavaScript-Code ausführen und haben vollen Zugriff auf die lokale Zone des PCs. Das vor einiger Zeit eingeführte SkypeFind dient dazu, lokale Informationen zu finden, die andere Skype-Nutzer empfehlen.

Das aktuelle Skype-Update bringt als Neuerung für das Public-API eine Whitelist-/Blacklist-Funktion, um Angriffe mit Schadcode abzuwehren. Außerdem soll die Netzwerk-Geschwindigkeit erhöht worden sein und einige lästige Programmabstürze wurden beseitigt. Außerdem wurde der Fehler korrigiert, dass bei einem laufenden Gespräch kein zweiter eingehender Anruf angenommen werden konnte. Zudem lassen sich die Video-Einstellungen wieder aufrufen, auch wenn ein Videotelefonat geführt wird.

Skype 3.6.0.248 für die Windows-Plattform steht ab sofort kostenlos als Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Brandenburg: DNS:Net kann wohl ganzen Landkreis ausbauen
    Brandenburg
    DNS:Net kann wohl ganzen Landkreis ausbauen

    DNS:Net beginnt in Elbe-Elster 55.000 Haushalte mit FTTH auszubauen. Zuvor war die Telekom hier gefördert aktiv.

  2. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

  3. Elektroauto: Hyundai Ioniq 6 soll 614 km pro Ladung fahren
    Elektroauto
    Hyundai Ioniq 6 soll 614 km pro Ladung fahren

    Beim Ioniq 6 zeigt sich wieder einmal, dass ein niedriger Luftwiderstandsbeiwert essentiell ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /