• IT-Karriere:
  • Services:

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Artikel veröffentlicht am ,
Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Stellenmarkt
  1. ITEOS, verschiedene Standorte
  2. SySS GmbH, Tübingen, Frankfurt am Main, München, Wien (Österreich)

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,65€
  2. 3,58€
  3. (-40%) 32,99€

LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex


Folgen Sie uns
       


DJI Robomaster S1 - Test

Was fährt da auf dem Flur entlang? Der Robomaster S1 ist ein flinker Roboter, mit dem wir Rennen fahren oder gegen andere Robomaster im Duell antreten können. Das macht einen Riesenspaß und ist auch ein guter Einstieg ins Programmieren.

DJI Robomaster S1 - Test Video aufrufen
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Charachorder Schneller tippen als die Tastatur erlaubt
  2. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad
  3. Apex Pro im Test Tastatur für glückliche Gamer und Vielschreiber

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

    •  /