Sicherheitslücken in Skypes VoIP-Software
Document Actions
Kaum meldet das BSI, dass VoIP derzeit unsicher ist,
tritt Skype den Beweis dafür zumindest im Bereich Softwarefehler an —
mit drei schwerwiegenden Sicherheitslücken, die Einschmuggeln und
Ausführen von fremdem Code wie etwa Viren, Würmer und Trojaner
erlauben. Der erste Pufferüberlauf kann durch manipulierte Skype-URIs
der Form callto:// beziehungsweise skype://
auftreten. Ein zweiter Pufferüberlauf kann durch den Import von
präparierten Skype-Visitenkarten ausgelöst werden. Diese beiden Lücken
betreffen nur die Windows-Versionen 1.1.*.0 bis 1.4.*.83 der
Internet-Telefonie-Software.
Die Entwickler weisen darauf hin, dass diese Fehler auf einen Bug in Borland Delphi zurückzuführen sind, den das Borland Developer Network dokumentiert. Schon in der Vergangenheit fand über diesen Bug ein kritischer Fehler den Weg in den VoIP-Client.
Mit bestimmten Netzwerk-Paketen könnte ein Angreifer in den Skype-Clients für Linux (bis einschließlich Version 1.2.*.17), Mac OS X (Version 1.3.*.16 und frühere), PocketPC (Version 1.1.*.6 und davor) und Windows (bis einschließlich Version 1.4.*.83) durch fehlerhafte Längenprüfungen ein Überschreiben des Heaps provozieren. Dies kann zum Absturz des Clients führen. Den Skype-Entwicklern ist es laut ihrer Sicherheitsmeldung jedoch nicht gelungen, Code über die Lücke einzuschleusen und auszuführen — was aber nicht bedeutet, dass dies nicht möglich wäre.
Auf den Download-Seiten des Unternehmens stehen neue
Programmversionen für alle Plattformen bereit. Skype-Nutzer sollten
umgehend auf diese Versionen aktualisieren, um ihr System nicht unnötig
zu gefährden.
Quelle: http://www.heise.de
