Skype schließt heimlich kritische Lücke

Peter Judge, Stefan Beiersmann,

Mit dem im November veröffentlichten Update auf die Version 3.6 hat der VoIP-Anbieter Skype heimlich eine bisher nicht bekannt gewordene kritische Sicherheitslücke geschlossen.

Die Schwachstelle bezieht sich auf den Skype-eigenen URL-Handler skype4com. Bei der Behandlung kurzer Zeichenketten kann der URL-Handler einen Fehler auslösen, der einem Angreifer den Zugriff auf einen ungepatchten Rechner ermöglicht.

Skype stand bereits in der Vergangenheit in der Kritik, weil das Unternehmen seine Kunden und Anwender nicht über die Fehler informiert, die mit einem Update der Software behoben werden. Die letzte Sicherheitsmeldung von Skype stammt aus Oktober 2006 und betraf damals die Skype-Version für Mac OS X – der letzte Eintrag für Windows ist sogar mit Mai 2006 datiert.

Die mit der Version 3.6 behobene Schwachstelle betrifft Skype für Windows in der Version 3.5 und älter. Laut der Zero Day Initiative wurde der Fehler Anfang November an Skype gemeldet und dort als entsprechend schwerwiegend eingestuft, so dass am 15. November ein Patch veröffentlicht wurde. Ein Update auf die neueste Version wird von Sicherheitsexperten dringend empfohlen.

Üblicherweise informieren Hersteller mit der Veröffentlichung eines Patches über die behobenen Fehler, damit Anwender die Bedeutung eines Updates einschätzen können und dieses dann auch installieren.

Neben der problematischen Informationspolitik im Zusammenhang mit Sicherheitslücken haben einige Anwender auch den Umgang mit von ihnen eingesandten Fehlerberichten reklamiert.

Im Skype-User-Forum hatte sich zwischen Oktober und Dezember eine rege Diskussion um Speicherfehler entwickelt, die von Anwendern an Skype berichtet wurden. Demnach verursacht Skype bis zu 10.000 Seitenfehler pro Sekunde. Ein Mitglied des Entwicklerteams hatte den Fehler im Forum immer wieder hartnäckig dementiert und schließlich sogar als gewollt bezeichnet.

Nachdem immer mehr Nutzer der Software den Fehler nachvollziehen und teilweise selber beheben konnten hat Skype letzte Woche zugegeben, dass es sich bei den Speicherfehlern doch nicht um ein gewolltes Feature handelt. Nach Aussage des Skype-Entwicklers Raul Liive habe man den Fehler anfänglich falsch eingeschätzt und werde das Problem nun nochmals untersuchen und hoffentlich bald lösen.

Wann das Problem allerdings behoben wird, konnte der Entwickler noch nicht sagen. Als mögliche Ursache wurde ein Thread ausgemacht, der für Debugging-Zwecke eingefügt wurde und den man anschließen vergessen hatte zu entfernen.