Angreifer können über drei Lücken Zugriff auf das System erhalten oder einen Denial of Service auslösen. Betroffen sind Skype-Versionen auf allen Betriebssystemen.

Insgesamt drei Begrenzungsfehler wurden in dem beliebten Voice-over-IP-Client Skype gefunden. Der erste entsteht, weil Skype-spezifische URI-Typen wie "callto://" und "skype://" falsch verarbeitet werden. Wenn ein Benutzer auf einen präparierten Link klickt, kann ein Angreifer so beliebigen Code auf dem System des Nutzers ausführen. Dasselbe Problem tritt mit VCARDs auf, auch diese werden nicht anständig überprüft. Diese beiden Lücken betreffen Skype bis Version 1.4.-.8.3 unter Windows.

Ein dritter Begrenzungsfehler taucht bei der Verarbeitung von bestimmtem Netzwerk-Traffic des Clients auf. Dies kann der Angreifer für einen Heap-basierten Pufferüberlauf nutzen, der den Skype-Client abstürzen lässt. Die letzte Sicherheitslücke betrifft sämtliche Versionen von Skype.

Für Mac OS, Linux und Windows stehen bereits aktualisierte Versionen als Update bereit, die Variante für Pocket PC lässt sich noch nicht updaten. (tecchannel/cm)