Skype schließt heimlich kritische Lücke

Die Schwachstelle bezieht sich auf den Skype-eigenen URL-Handler skype4com. Bei der Behandlung kurzer Zeichenketten kann der URL-Handler einen Fehler auslösen, der einem Angreifer den Zugriff auf einen ungepatchten Rechner ermöglicht.

Skype stand bereits in der Vergangenheit in der Kritik, weil das Unternehmen seine Kunden und Anwender nicht über die Fehler informiert, die mit einem Update der Software behoben werden. Die letzte Sicherheitsmeldung von Skype stammt aus Oktober 2006 und betraf damals die Skype-Version für Mac OS X – der letzte Eintrag für Windows ist sogar mit Mai 2006 datiert.

Die mit der Version 3.6 behobene Schwachstelle betrifft Skype für Windows in der Version 3.5 und älter. Laut der Zero Day Initiative wurde der Fehler Anfang November an Skype gemeldet und dort als entsprechend schwerwiegend eingestuft, so dass am 15. November ein Patch veröffentlicht wurde. Ein Update auf die neueste Version wird von Sicherheitsexperten dringend empfohlen.

Üblicherweise informieren Hersteller mit der Veröffentlichung eines Patches über die behobenen Fehler, damit Anwender die Bedeutung eines Updates einschätzen können und dieses dann auch installieren.

Neben der problematischen Informationspolitik im Zusammenhang mit Sicherheitslücken haben einige Anwender auch den Umgang mit von ihnen eingesandten Fehlerberichten reklamiert.

Im Skype-User-Forum hatte sich zwischen Oktober und Dezember eine rege Diskussion um Speicherfehler entwickelt, die von Anwendern an Skype berichtet wurden. Demnach verursacht Skype bis zu 10.000 Seitenfehler pro Sekunde. Ein Mitglied des Entwicklerteams hatte den Fehler im Forum immer wieder hartnäckig dementiert und schließlich sogar als gewollt bezeichnet.

Nachdem immer mehr Nutzer der Software den Fehler nachvollziehen und teilweise selber beheben konnten hat Skype letzte Woche zugegeben, dass es sich bei den Speicherfehlern doch nicht um ein gewolltes Feature handelt. Nach Aussage des Skype-Entwicklers Raul Liive habe man den Fehler anfänglich falsch eingeschätzt und werde das Problem nun nochmals untersuchen und hoffentlich bald lösen.

Wann das Problem allerdings behoben wird, konnte der Entwickler noch nicht sagen. Als mögliche Ursache wurde ein Thread ausgemacht, der für Debugging-Zwecke eingefügt wurde und den man anschließen vergessen hatte zu entfernen.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago