News

Skype Sicherheitsnetz mit Loch

Die Entwickler von Skype haben in aktuellen Versionen ihres Programms eine schwere Sicherheitslücke gefunden. Ein korrigiertes Update ist verfügbar.

27.10.2005, 10:11 Uhr
Sky © Sky Deutschland

Die Damen und Herren des Bundesamts für Sicherheit in der Informationstechnik (BSI) können sich jetzt mal wieder des beliebten Ausspruchs bedienen: "Haben wir Euch doch vorher gesagt". Die Entwickler der beliebten Skype-Software haben in ihrem Programm eine schwere Sicherheitslücke entdeckt. Der Bug tritt in den aktuellen Windows-Versionen 1.1.*.0 bis 1.4.*.83 auf und bietet Angreifern eine Möglichkeit, Skype für die Ausführung von Viren und Würmern zu nutzen. Schnell wurde der Fehler korrigiert und kann durch ein online verfügbares Update ausgemerzt werden.
Einbruch durch Überlastung
Der Bug kann auf zwei Wegen auftreten: zum einen, wenn User auf eine manipulierte Skype-spezifische URL, beginnend mit callto:// und skype://, klicken oder wenn so genannte VCards, die Skype-Visitenkarten, in einem spezifischen nicht-standardisierten Format importiert werden. Beide Aktionen können zu einem Buffer Overflow führen, bei dem ein Datenspeicher mit einer übergroßen Datenmenge überlastet wird. Dadurch stürzt nicht nur der Skype-Client ab, sondern der Pufferüberlauf bietet eine Lücke für Angreifer, die auf diesem Weg Viren und Würmer einschleusen und ausführen können. Buffer Overflows sind die mit am häufigsten auftretenden Sicherheitslücken aktueller Software.
Lücke ist geflickt
Mit dem Update der Skype-Software auf die Version 1.4.*.84 oder später wird der Bug gefixt. Die Entwickler empfehlen diesen Schritt so bald wie möglich, um unnötige Risiken zu vermeiden. Ansonsten kann der Fehler nur vermieden werden, indem keine Skype-eigenen URL’s genutzt oder Visitenkarten importiert werden. Eine ähnliche Sicherheitslücke trat bereits im November 2004 auf, damals bei den Windows-Versionen 1.0.*.94 bis 1.0.*.98. Auch hier konnte ein Pufferüberlauf initialisiert und fremde Programmcodes eingeschleust werden. Eine Verwandtschaft der beiden Fehler bestreiten aber die Skype-Entwickler.

(Aleksandra Leon)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang