Sicherheitslücke in VoIP-Software Skype
Über einen Fehler im Programm kann Code eingeschleust und ausgeführt werden. Skype hat bereits eine neue Version seiner Software zum Download bereitgestellt.
In den Versionen 1.0.*.95 bis 1.0.*.98 der Internet-Telefonie-Software Skype steckt ein
kritisches Sicherheitsleck, über das ein Angreifer einen Speicherüberlauf auslösen und Code ausführen kann. Dafür genügt es, dass der Anwender eine entsprechend gestaltete Website aufsucht, bei der ein überlanger String mit mehr als 4096 Bytes an den “callto:”-URI-Handler übergeben wird.
Auf den Skype-Seiten steht deshalb bereits die neue
Programmversion 1.0.0.100 zur Verfügung, in der das Leck gestopft wurde. (dd)