Abo
  • Services:
Anzeige
Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

Codeeinschleusung

Neues Sicherheitsloch in Skype entdeckt

Demonstration der Sicherheitslücke in Skype
Demonstration der Sicherheitslücke in Skype (Bild: Levent Kayan)

In der aktuellen Skype-Version hat der Sicherheitsexperte Levent Kayan alias Noptrix eine Sicherheitslücke entdeckt. Der Fehler kann zum Einschleusen von HTML- oder Javascript-Code missbraucht werden.

Das Sicherheitsloch hat Levent Kayan für die Skype-Version 5.5.0.113 bestätigt, dürfte allerdings auch in früheren Skype-Versionen enthalten sein. Nach seinen Erkenntnissen ist nur die Windows-Version von Skype davon betroffen. Die Ein- und Ausgabe der Nutzerprofileinträge für die Rufnummern privat, beruflich sowie die Handynummer werden von Skype nicht ausreichend geprüft. Dadurch können Angreifer darüber Code einschleusen.

Anzeige

Nach Kayans Angaben ist noch nicht klar, welche Angriffsgefahren von der Sicherheitslücke ausgehen. Denkbar ist, dass darüber Cookie-Daten ausgelesen werden können. Aber auch das Ausführen von Schadcode ist nicht ausgeschlossen, allerdings bislang nicht bestätigt. Aus diesem Grunde gibt es noch keine eindeutige Gefahreneinstufung für die Sicherheitslücke.

Derzeit ist nicht bekannt, wann ein Skype-Update erscheint, mit dem das Sicherheitsloch beseitigt wird. Kayan rät Skype, intensiver die Eingabe in den genannten Feldern zu überprüfen und vor allem bei der Ausgabe Codeausführungen zu verhindern.

Erst kürzlich hatte Kayan Sicherheitslücken in Skype, Adium und ICQ entdeckt, die zum Ausführen von Schadcode missbraucht werden konnten. Die Fehler in Skype und ICQ wurden mittlerweile mit Updates korrigiert, der Fehler in Adium wurde noch nicht beseitigt.

Beim zuvor von Kayan im Juli 2011 gefundenen Sicherheitsloch in Skype gab es wie im aktuellen Fall Probleme mit den Nutzerprofilen. In bestimmten Feldern der Nutzerprofile konnte Code eingeschleust werden, womit der Heimbildschirm des Skype-Clients zum Aufruf einer fremden Webseite gebracht werden konnte. Über den Besuch der Webseite wäre dann das Einschleusen von Schadsoftware möglich gewesen.


eye home zur Startseite
LinuxMcBook 02. Okt 2011

Und ich CodeinSchleusung

Lala Satalin... 18. Aug 2011

Das sind mit Sicherheit noch Fehler, die VOR der Übernahme drin waren. Kannst das Exploit...

c0rtex 18. Aug 2011

Hat Skype nichts dazu gelernt? Wann hört das auf? :-) Gruß, c0rtex



Anzeige

Stellenmarkt
  1. Deutsche Bundesbank, Frankfurt am Main
  2. Robert Bosch GmbH, Abstatt
  3. QSC AG, Köln
  4. RegioHelden GmbH, Stuttgart


Anzeige
Blu-ray-Angebote
  1. (u. a. Forrest Gump 9,97€, Gods of Egypt 9,97€, Creed 8,99€, Cloud Atlas 8,94€)
  2. (u. a. The Hateful 8 7,97€, The Revenant 8,97€, Interstellar 7,97€)
  3. (u. a. Supernatural, True Blood, Into the West, Perry Mason, Mord ist ihr Hobby)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Festnetz

    O2 will in Deutschland letzte Meile per Funk überwinden

  2. Robocar

    Roborace präsentiert Roboterboliden

  3. Code.mil

    US-Militär sucht nach Lizenz für externe Code-Beiträge

  4. Project Zero

    Erneut ungepatchter Microsoft-Bug veröffentlicht

  5. Twitch

    Videostreamer verdienen am Spieleverkauf

  6. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  7. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  8. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  9. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  10. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Bodyhacking: Ich, einfach unverbesserlich
Bodyhacking
Ich, einfach unverbesserlich

  1. Re: Hardware Tasten Vorteile?

    Unix_Linux | 19:07

  2. Re: Wir fassen zusammen:

    SkyBeam | 19:07

  3. Re: Dass SHA-1 unsicher ist, war bereits seit...

    tha_specializt | 19:05

  4. Re: Warum ?

    Ach | 19:02

  5. Re: Twitch 25 Prozent

    nightmar17 | 19:00


  1. 18:18

  2. 17:56

  3. 17:38

  4. 17:21

  5. 17:06

  6. 16:32

  7. 16:12

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel