Vulnerability ID 4142

Skype Client 2.8 auf Mac Chat Unicode Handler Eingabeungültigkeit

CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
4.2$2k-$5k

Skype ist eine in den letzten Jahren unglaublich populär gewordene freie Lösung für Internet-Telefonie. Der Skype-Client ist sehr einfach zu bedienen (ähnlich klassischen Messengern wie ICQ) und für verschiedene Plattformen erhältlich. Marc Ruef der scip AG hat eine Denial of Service-Schwachstelle im Client für Apple MacOS X gefunden. Wird über den Chat eine Nachricht empfangen, die bestimmte Unicode-Zeichen enthält, können verschiedene Funktionen der Software nicht mehr genutzt werden. So wird die korrupte Nachricht sowie alle Folgenachrichten nicht mehr dargestellt. Ebenso ist die Chat-History für den betroffenen Benutzer nicht mehr einsehbar. Das Vorgehen zur Ausnutzung der Schwachstelle ist bekannt. Skype wurde durch ein Posting im Bug Tracking System Jira informiert und hat die Existenz der Schwachstelle bestätigt. Ein weiteres Vorgehen wurde jedoch nicht genannt. Als Workaround wird empfohlen, den Empfang von Chat-Mitteilungen nur für autorisierte Benutzer aus der eigenen Freundesliste zuzulassen. securityfocus.com is providing further details.

Glücklicherweise lässt sich diese Schwachstelle nur in Mac-Umgebungen ausnutzen, weshalb sie - vor allem für Windows-Benutzer - nicht als akut angesehen werden muss. Wer gut und gerne Skype auf seinem Mac einsetzt, sollte jedoch dringend um eine Aktualisierung des Clients bemüht sein, sobald denn eine aktualisierte Version erscheint.

CVSSv3

Base Score: 4.2 [?]
Temp Score: 4.2 [?]
Vector: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:X/RL:U/RC:X [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: 3.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:N) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:U/RC:ND) [?]
Zuverlässigkeit: Medium

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Eingabeungültigkeit
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich
Download: developer.skype.com

Aktuelle Preisschätzung: $10k-$25k (0-day) / $2k-$5k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Gegenmassnahmen

Empfehlung: Alternative
Status: Nicht verfügbar
0-Day Time: 43 Tage seit gefunden

Patch: skype.com

Timeline

09.05.2010 Schwachstelle gefunden
10.05.2010 +1 Tage Exploit veröffentlicht
21.06.2010 +42 Tage Advisory veröffentlicht
21.06.2010 +0 Tage VulDB Eintrag erstellt
02.07.2010 +11 Tage OSVDB Eintrag erstellt
03.12.2015 +1980 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: scip.ch
Person: Marc Ruef
Firma: scip AG
OSVDB: 65974 - Skype for Mac OS X Chat Unicode Handling Remote DoS

Diverses: securityfocus.com

Eintrag

Erstellt: 21.06.2010
Aktualisierung: 03.12.2015
Eintrag: 81.8% komplett