In zwei gestern veröffentlichen Security Bulletins beschreibt Skype Sicherheitslücken in seinem VoIP-Client und stellt Updates bereit, um diese Lücken zu schließen.
Die gefährlichere der beiden Sicherheitslücken beschreibt Skype in Security Bulletin SKYPE-SB/2005-003.
Diese Lücke betrifft ausschließlich Skype für Windows, Versionen für andere Betiebssysteme sind nicht betroffen. Durch speziell gestaltete Adressen in "callto://"- und "skype://"-Links sowie durch den Import manipulierter Vcard-Daten kann der Skype-Client dazu gebracht werden, beliebigen Code auszuführen.
Anwender, die in letzter Zeit weder die speziellen Skype-Links auf Internetseiten angeklickt noch Vcard-Informationen importiert haben, müssen nicht fürchten, durch die bekannt gewordene Sicherheitslücke kompromittiert worden zu sein. Skype empfiehlt jedoch ein sofortiges Update auf die Version 1.4.*.84.
Die in SKYPE-SB/2005-003 beschriebene Sicherheitslücke ist weniger kritisch, betrifft jedoch neben der Windows-Version die Skype-Versionen für Mac OS X, Linux und Pocket PC.
Diese Lücke erlaubt es einem Angreifer, speziellen Traffic in ein Skype-Netz zu schicken und dadurch Skype-Clients zum Absturz zu bringen. Ein gezieltes Ausführen von Code scheint nach derzeitigem Kenntnisstand jedoch nicht möglich zu sein.
Das aktuelle Update schließt auch diese Sicherheitslücke.
[dbo] 26.10.2005