26836

Heimliches Sicherheits-Update und flaue Entschuldigung

11.12.2007 | 08:37 Uhr |

In Skype-Versionen, die vor dem 15. November veröffentlicht worden sind, steckt eine problematische Schwachstelle. Diese hat der Hersteller zwar beseitigt, ohne jedoch etwas darüber verlauten zu lassen.

Bei der Bereitstellung der neuen Skype-Version 3.6 hat der Hersteller Skype , der zu eBay gehört, lediglich Verbesserungen bei der Video-Qualität versprochen. Das Sicherheitsunternehmen Tipping Point , eine Tochtergesellschaft des Netzwerkherstellers 3Com, hatte Skype jedoch am 2. November über eine kritische Sicherheitslücke in vorherigen Versionen der Telefonie- und Chat-Software informiert. Skype hat diese Schwachstelle mit der am 15. November bereit gestellten Version 3.6 beseitigt, jedoch keinen Hinweis darauf veröffentlicht.

Die von Tipping Point gegründete Zero Day Initiative (ZDI) hat in einer Sicherheitsempfehlung einige Details zu der Sicherheitslücke dargestellt. Demnach liegt der Schwachpunkt in dem URI-Handler SKYPE4COM, der bei der Installation von Skype angelegt wird. Bei der Verarbeitung kurzer Zeichenketten kann es darin zu einem Pufferüberlauf kommen. Dies kann auch das Einschleusen und Ausführen beliebigen Codes ermöglichen, also etwa auch von Malware.

Das neueste Security Bulletin ist bereits über ein Jahr alt. Erst nach der Veröffentlichung der Details durch ZDI und der Berichterstattung darüber in einigen Medien ist Skype-Sprecher Villu Arak am 10. Dezember auf die Idee gekommen, einmal etwas zu dem Thema zu äußern. Die recht lahme Entschuldigung , es habe bei Skype ein "versehentliches Kommunikationsversäumnis" gegeben, ist allerdings nicht sehr überzeugend.

Wenn Sie eine vor dem 15. November herunter geladene Version von Skype einsetzen, sollten Sie auf die neueste Fassung umsteigen. Diese trägt die Versionsnummer 3.6.0.216 (oder höher). Welche Version Sie installiert haben, können Sie im Programm über Hilfe/Info feststellen.

0 Kommentare zu diesem Artikel
26836