Skype Client 2.8 auf Mac Chat Unicode Handler Eingabeungültigkeit

VulDB: Skype Client 2.8 auf Mac Chat Unicode Handler Eingabeungültigkeit

Allgemein

scipID: 4142
Betroffen: Skype Client für Mac 2.8
Veröffentlicht: 21.06.2010 (Marc Ruef)
Risiko: problematisch
Eintrag: 87.6% komplett
Erstellt: 21.06.2010
Aktualisiert: 09.07.2010

Beschreibung

Skype ist eine in den letzten Jahren unglaublich populär gewordene freie Lösung für Internet-Telefonie. Der Skype-Client ist sehr einfach zu bedienen (ähnlich klassischen Messengern wie ICQ) und für verschiedene Plattformen erhältlich. Marc Ruef der scip AG hat eine Denial of Service-Schwachstelle im Client für Apple MacOS X gefunden. Wird über den Chat eine Nachricht empfangen, die bestimmte Unicode-Zeichen enthält, können verschiedene Funktionen der Software nicht mehr genutzt werden. So wird die korrupte Nachricht sowie alle Folgenachrichten nicht mehr dargestellt. Ebenso ist die Chat-History für den betroffenen Benutzer nicht mehr einsehbar. Das Vorgehen zur Ausnutzung der Schwachstelle ist bekannt. Skype wurde durch ein Posting im Bug Tracking System Jira informiert und hat die Existenz der Schwachstelle bestätigt. Ein weiteres Vorgehen wurde jedoch nicht genannt. Als Workaround wird empfohlen, den Empfang von Chat-Mitteilungen nur für autorisierte Benutzer aus der eigenen Freundesliste zuzulassen. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (65974) dokumentiert.

Glücklicherweise lässt sich diese Schwachstelle nur in Mac-Umgebungen ausnutzen, weshalb sie – vor allem für Windows-Benutzer – nicht als akut angesehen werden muss. Wer gut und gerne Skype auf seinem Mac einsetzt, sollte jedoch dringend um eine Aktualisierung des Clients bemüht sein, sobald denn eine aktualisierte Version erscheint.