Microsoft schließt kritisches Leck in Skype

Die Versionen 7.2, 7.35 und 7.36 des Messaging-Clients Skype litten an einem kritischen Leck. Wie jetzt bekannt wurde, hat Microsoft bereits zu Beginn des Monats den Fehler behoben. Über das Sicherheitsleck in der Windows-Bibliothek Msftedit.dll konnte ein Angreifer Schadcode einschleusen und ausführen und so auch einen Absturz der Anwendung auslösen.

Der Sicherheitsforscher Benjamin Kunz Mejri von Vulnerability Lab hat das Leck entdeckt und nun auf einem Blog Details dazu veröffentlicht. Mitte Mai informierte er Microsoft über das Problem. Seit dem 8. Juni liefert der Anbieter diesen mit dem Update auf die Version 7.37.178 aus.

Der Fehler tritt laut dem Forscher bei Kopiervorgängen auf und kann beispielsweise mit speziell präparierten Bildern ausgenutzt werden. Wird ein solches Bild von der Zwischenablage in Skype kopiert, löst Skype einen Pufferüberlauf aus, der schließlich zu einem Absturz führt und eine Remotecodeausführung erlaubt. Mejri betont, dass die Anfälligkeit sowohl lokal wie auch aus der Ferne ausgenutzt werden kann und keine Interaktion mit einem Nutzer notwendig ist. Voraussetzung, um das Leck ausnutzen zu können ist ein ein Skype-Konto, wie der Sicherheitsforscher mitteilt.

“Angreifer sind in der Lage, die Software mit einer einzigen Anfrage zum Überschreiben des EIP-Registers des aktiven Software-Prozesses abstürzen zu lassen”, so der Bericht . “Das erlaubt es lokalen oder entfernten Angreifern, eigenen Code auf betroffenen und über die Skype-Software verbundenen Computersystemen auszuführen.”

Vulnerability Lab bewertet die Schwachstelle mit 7,2 Punkten im zehnstufigen Common Vulnerability Scoring System. Die Funktionsweise des Exploits zeigt das Unternehmen zudem in einem Video.

[mit Material von Stefan Beiersmann, ZDNet.com]