CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.6 | $0-$5k | 0.00 |
Skype ist eine freie Lösung für Online-Telefonie, die vor allem im Jahr 2005 nach der Übernahme von eBay für Aufsehen gesorgt hat. Sie ist für verschiedene Plattformen - von Windows über Mac OS X bis Linux - erhältlich. Wie die Entwickler melden, existiert eine Pufferüberlauf-Schwachstelle bei der Netzwerkkommunikation unter Clients. Ein Angreifer kann scheinbar durch einen speziellen Aufruf dieser eine Denial of Service-Attacke umsetzen oder gar beliebigen Programmcode ausführen lassen - Letzteres ist den Skype-Entwicklern angeblich selbst nicht gelungen. Es sind keine technischen Details oder ein Exploit zur Schwachstelle bekannt. Der Fehler betrifft sämtliche aktuellen Versionen bis 1.4.0.83. Für sämtliche Plattformen wurde eine aktualisierte Software-Version herausgegeben, die auch noch andere Fehler behebt. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (22850) und Tenable (21451) dokumentiert. Auf Deutsch berichtet unter anderem Heise zum Fall. Die Einträge 1836 und 1838 sind sehr ähnlich.
Für den Vulnerability Scanner Nessus wurde am 13.05.2006 ein Plugin mit der ID 21451 (FreeBSD : skype -- multiple buffer overflow vulnerabilities (70fc13d9-4ab4-11da-932d-00055d790c25)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 38480 (Skype Technologies Skype Networking Routine Heap Overflow Vulnerability) zur Prüfung der Schwachstelle an.
Das Mehr an Popularität des jüngsten eBay-Einkaufs bringt einmal mehr ein Mehr an Interesse potentieller Angreifer mit sich. Es erstaunt trotzdem, dass gerade derlei simple Schwachstellen gegeben sind, sollten Entwickler in der heutigen Zeit doch den grundsätzlichen Umgang mit benutzerdefinierten Variablen kennen und können.
Produkt
Typ
Name
Version
- 0.92.0.12
- 0.93.0.3
- 0.98.0.04
- 1.0.0.7
- 1.0.0.9
- 1.0.0.10
- 1.0.0.18
- 1.0.0.29
- 1.0.0.94
- 1.0.0.97
- 1.0.0.100
- 1.1.0.0
- 1.1.0.20
- 1.1.06
- 1.2.0.17
- 1.3.0.16
- 1.4.0.83
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 21451
Nessus Name: FreeBSD : skype -- multiple buffer overflow vulnerabilities (70fc13d9-4ab4-11da-932d-00055d790c25)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 55778
OpenVAS Name: FreeBSD Ports: skype
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: skype.com
Timeline
18.10.2005 🔍20.10.2005 🔍
25.10.2005 🔍
25.10.2005 🔍
25.10.2005 🔍
26.10.2005 🔍
27.10.2005 🔍
31.10.2005 🔍
01.11.2005 🔍
06.11.2005 🔍
13.05.2006 🔍
05.07.2019 🔍
Quellen
Advisory: skype.comPerson: EADS Corporate Research Center
Firma: Skype
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2005-3267 (🔍)
X-Force: 22850 - Skype client UDP buffer overflow, High Risk
Vulnerability Center: 9546 - Skype Client DoS Buffer Overflow via Large Object Counter Value, Medium
SecurityFocus: 15192 - Skype Technologies Skype Networking Routine Heap Overflow Vulnerability
Secunia: 17305 - Skype Multiple Buffer Overflow Vulnerabilities, Highly Critical
OSVDB: 20306 - Skype Crafted UDP Packet Remote Overflow
Vupen: ADV-2005-2197
Heise: 65330
scip Labs: https://www.scip.ch/?labs.20140918
Siehe auch: 🔍
Eintrag
Erstellt: 31.10.2005 09:16Aktualisierung: 05.07.2019 06:40
Anpassungen: 31.10.2005 09:16 (102), 05.07.2019 06:40 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.