Menü
Security

Skype schließt Sicherheitslücke

Von
vorlesen Drucken Kommentare lesen 52 Beiträge

Skype hat eine neue Version seines gleichnamigen VoIP-Clients veröffentlicht, in der zwei Schwachstellen beseitigt sind. Zum Schutz vor dem Aufruf lokal gespeicherter, ausführbarer Dateien über die sogenannte file-URI (beispielsweise file:///C:/foobar.exe) hat die Windows-Version von Skype einen Filter implementiert. Allerdings warnt der Client nach Angaben von iDefense nur vor den Dateitypen .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl,.crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp und .js. Weitere potenziell gefährliche Dateitypen wie .pif, .vbs und .scr blockiert Skype nicht. Zudem prüft der Client den Dateitypen case-sensitiv: Mit einem einzigen Großbuchstaben trickst man den Filter bereits aus.

Für einen erfolgreichen Angriff muss allerdings zuvor eine präparierte Datei auf den Rechner des Opfers gelangen. Daher stuft Skype das Problem gemäß dem Common Vulnerability Assessment System (CVSS) auch nur mit 5.6 ein. Betroffen sind laut Skype alle Windows-Versionen bis einschließlich 3.8.*.115. In Version 3.8.0.139 ist der Fehler nicht mehr zu finden.

Siehe dazu auch:

(dab)

Anzeige
Anzeige