VulDB: Skype bis 1.5.0.80 auf Mac URI Argument Handler Format String
Allgemein
scipID: 2585
Betroffen: Skype bis 1.5.0.80 für Mac
Veröffentlicht: 03.10.2006 (Tom Ferris)
Risiko: 
problematisch
Eintrag: 90.8% komplett
Erstellt: 04.10.2006
Aktualisiert: 03.09.2012
Beschreibung
Skype ist eine in den letzten Jahren unglaublich populär gewordene freie Lösung für Internet-Telefonie. Der Skype-Client ist sehr einfach zu bedienen (ähnlich klassischen Messengern wie ICQ) und für verschiedene Plattformen erhältlich. Tom Ferris entdeckte einen Fehler, der im Bulletin SKYPE-SB/2006-002 besprochen wird. Darin wird auf eine Format String-Schwachstelle in Bezug auf den Umgang mit den eingerichteten URI-Handlern hingewiesen. Davon ist ausdrücklich Skype für Mac betroffen. Die Versionen für Windows weisen diese Schwachstelle nicht auf. In einem aufgetauchten Video wird das Vorgehen im Rahmen eines Angriffs Schritt für Schritt demonstriert. Skype hat eine aktualisierte Version für Macintosh herausgebracht. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (29488), Secunia (SA22185), SecurityFocus (BID 20218) und SecurityTracker (ID 1016966) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.
Glücklicherweise lässt sich diese Schwachstelle nur in Mac-Umgebungen ausnutzen, weshalb sie – vor allem für Windows-Benutzer – nicht als akut angesehen werden muss. Wer gut und gerne Skype auf seinem Mac einsetzt, sollte jedoch dringend um eine Aktualisierung des Clients bemüht sein.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Format String
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Download: security-protocols.com
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: skype.com
Timeline
28.09.2006 | CVE zugewiesen
03.10.2006 | Advisory veröffentlicht
03.10.2006 | OSVDB Eintrag erstellt
04.10.2006 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: skype.com
Person: Tom Ferris
Bestätigung: skype.com
OSVDB: 29488
CVE: CVE-2006-5084 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 22185
SecurityFocus: 20218
SecurityTracker: 1016966
Vupen: ADV-2006-3895
Heise: 78976
- Letzte Einträge
- Apple iOS Mobile Hotspot generateDefaultPassword() schwache Authentisierung
- Cisco ASA CX TCP Packet Handler Denial of Service [CVE-2013-1203]
- Microsoft Outlook S/MIME Handler schwache Verschlüsselung
- Google Android Input Validation Handler Information Disclosure
- Fortinet FortiOS Permission Handler schwache Authentisierung
- Statistiken
- Archiv
