Skype schließt heimlich kritische Lücke

Die Schwachstelle bezieht sich auf den Skype-eigenen URL-Handler skype4com. Bei der Behandlung kurzer Zeichenketten kann der URL-Handler einen Fehler auslösen, der einem Angreifer den Zugriff auf einen ungepatchten Rechner ermöglicht.

Skype stand bereits in der Vergangenheit in der Kritik, weil das Unternehmen seine Kunden und Anwender nicht über die Fehler informiert, die mit einem Update der Software behoben werden. Die letzte Sicherheitsmeldung von Skype stammt aus Oktober 2006 und betraf damals die Skype-Version für Mac OS X – der letzte Eintrag für Windows ist sogar mit Mai 2006 datiert.

Die mit der Version 3.6 behobene Schwachstelle betrifft Skype für Windows in der Version 3.5 und älter. Laut der Zero Day Initiative wurde der Fehler Anfang November an Skype gemeldet und dort als entsprechend schwerwiegend eingestuft, so dass am 15. November ein Patch veröffentlicht wurde. Ein Update auf die neueste Version wird von Sicherheitsexperten dringend empfohlen.

Üblicherweise informieren Hersteller mit der Veröffentlichung eines Patches über die behobenen Fehler, damit Anwender die Bedeutung eines Updates einschätzen können und dieses dann auch installieren.

Neben der problematischen Informationspolitik im Zusammenhang mit Sicherheitslücken haben einige Anwender auch den Umgang mit von ihnen eingesandten Fehlerberichten reklamiert.

Im Skype-User-Forum hatte sich zwischen Oktober und Dezember eine rege Diskussion um Speicherfehler entwickelt, die von Anwendern an Skype berichtet wurden. Demnach verursacht Skype bis zu 10.000 Seitenfehler pro Sekunde. Ein Mitglied des Entwicklerteams hatte den Fehler im Forum immer wieder hartnäckig dementiert und schließlich sogar als gewollt bezeichnet.

Nachdem immer mehr Nutzer der Software den Fehler nachvollziehen und teilweise selber beheben konnten hat Skype letzte Woche zugegeben, dass es sich bei den Speicherfehlern doch nicht um ein gewolltes Feature handelt. Nach Aussage des Skype-Entwicklers Raul Liive habe man den Fehler anfänglich falsch eingeschätzt und werde das Problem nun nochmals untersuchen und hoffentlich bald lösen.

Wann das Problem allerdings behoben wird, konnte der Entwickler noch nicht sagen. Als mögliche Ursache wurde ein Thread ausgemacht, der für Debugging-Zwecke eingefügt wurde und den man anschließen vergessen hatte zu entfernen.

Silicon-Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

22 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

1 Tag ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

1 Tag ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago