Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Skype bug gives attackers access to Mac OS X machines

Skype bug gives attackers access to Mac OS X machines

sierkb06.05.1122:44
FYI:

The Register: Skype bug gives attackers root access to Mac OS X
'Extremely wormable and dangerous'

Pure Hacking: Skype 0day vulnerabilitiy discovered by Pure Hacking
[..]Windows and Linux clients were not vulnerable. It was only the Mac skype client that seemed to be affected.[..]The long and the short of it is that an attacker needs only to send a victim a message and they can gain remote control of the victims Mac. It is extremely wormable and dangerous.[..]

Reaktion des Herstellers Skype bisher:
"Thank you for showing an interest in skype security, we are aware of this issue and will be addressing it in the next hotfix"
0

Kommentare

o.wunder
o.wunder06.05.1123:59
mh welche Skype Version ist gemeint?
0
julesdiangelo
julesdiangelo07.05.1100:43
Vermutlich jede bis auf die, die nächste Woche den Patch bringt.
„bin paranoid, wer noch?“
0
rudolf07
rudolf0707.05.1101:21
Das bedeutet; umgehend die Einstellungen Privatsphäre überprüfen und entsprechend konfigurieren. Und sobald der Patch kommt, aktualisieren. Also das übliche Prozedere.
„Wenn der Weise auf den Mond zeigt, schaut der Dumme auf den Finger. “
0
MacMark
MacMark07.05.1110:22
sierkb
Es wird nur Code unter dem Benutzer ausgeführt. Nicht unter root. Wie kommst Du auf so eine reißerische Behauptung wie "root access to Mac OS X"?
Weder TheRegister noch der Entdecker des Bugs in Skype schreibt etwas von "root". Hätte mich auch gewundert, da Skype wie alle regulären Programme unter OS X keine Rootrechte benötigt.
„@macmark_de“
0
sierkb07.05.1110:41
MacMark
Wie kommst Du auf so eine reißerische Behauptung wie "root access to Mac OS X"? Weder TheRegister noch der Entdecker des Bugs in Skype schreibt etwas von "root".

Ich nicht. The Register. Ich hatte die Überschrift 1:1 zu dem Zeitpunkt (gestern, 22:44 Uhr) von The Register übernommen. Dann hat sich The Register inzwischen zumindest in der Überschrift korrigiert.
Weder TheRegister noch der Entdecker des Bugs in Skype schreibt etwas von "root".

Siehe zuvor Gesagtes.

Mittlerweile steht bei The Register unten in dem Artikel auch ganz dick und fett ein Update, auch das stand gestern abend zu besagter Zeit noch nicht dort.
Und The Register nimmt zu dieser nachträglichen Änderung ihrer Überschrift und Meldung sogar Stellung (besonders im letzten Satz):
Update

According to a post on the Skype Security blog that was published a few hours after this story went live, a hotfix for the vulnerability was released in mid April.

“As there were no reports of this vulnerability being exploited in the wild, we did not prompt our users to install this update, as there is another update in the pipeline that will be sent out early next week,” Skype's Adrian Asher wrote.

He added:

This vulnerability, which they blogged about earlier today, is related to a situation when a malicious contact would send a specifically crafted message that could cause Skype for Mac to crash. Note, this message would have to come from someone already in your Skype Contact List, as Skype's default privacy settings will not let you receive messages from people that you have not already authorized, hence the term malicious contact.

The headline in this article was updated to correct the nature of the vulnerability. It remotely gives shell access.

Auch hier und jetzt zitiere ich jetzt wieder nur die Original Überschriften (so wie ich es sonst immer ebenfalls tue, wenn ich Links poste):
AppleInsider: Briefly: Skype vulnerability; Youku on iPhone; Nuance licensing

cnet: Expert: Skype for Mac hole can be used in remote attack

TUAW: Skype security flaw already patched, but you have to download manually
0
MacMark
MacMark07.05.1111:11
Ist halt immer besser, wenn man die Original-Quelle liest Und das ist anscheinend  purehacking.com/blogs/gordon-maddern/skype-0day-vulnerabilitiy-discovered-by-pure-hacking
Man sollte niemals reißerischen Presseschlagzeilen vertrauen. Und auch nicht Artikeln, deren Schreibern das technische Knowhow fehlt. Ein Bug in einem Userland-Programm kann keinen Root-Access geben.

"Userland-Bug gibt Root-Access" => Blödsinns-Schlagzeile. Die haben weder für 5 Pfennige Ahnung noch selbst recherchiert.

Ein stinknormaler Bug in einem Userland-Programm. Da es jedoch ein Netzwerk-Programm ist, etwas kritischer.
„@macmark_de“
0
sierkb07.05.1111:45
MacMark:

wie Du oben siehst, ist Bestandteil meines Beitrages die Original-Quelle mit Überschrift und Verlinkung.
Ankreiden kannst Du mir, dass ich für den Titel dieses Forum-Beitrages die Überschrift von The Register per Copy&Paste hergenommen habe statt die Überschrift der Original-Quelle.
Leider kann ich es im Nachhinein hier nicht korrigieren, ich müsste einen des MTN staffs bitten, das zu tun. Mache ich noch.
Ich denke aber, dass diejenigen Leser, die diese Seite hier aufrufen und lesen, auch so schlau genug sind, die Dinge richtig einzuordnen. Erst recht, da wir das ja jetzt geklärt haben, dass die Überschrift nicht meine Erfindung gewesen ist sondern die von El Reg.

Mir ging es bei der Einstellung der Meldung lediglich darum, einen kleinen Hinweis zu geben, dass Skype derzeit eine Lücke hat, deren Patch noch nicht beim Benutzer angekommen ist und noch auf sich warten lässt bzw. Skype den bislang bzw. seit einigen Wochen schon zurückhält. Weil ich mir vorstellen kann, dass der Eine oder andere hier durchaus ab und zu mal oder auch regelmäßiger Skype benutzt.
0
sierkb07.05.1112:07
Mittlerweile gibt's zu dem Ganzen auch eine offizielle Mitteilung von Skype selber:

Skype Security Blog: Security Vulnerability in Mac Client Has Been Addressed (6th May 2011) :
Skype
Security Vulnerability in Mac Client Has Been Addressed

Last month, we were contacted by Pure Hacking, a group of ethical hackers in Australia, who reported what they believed to be a zero-day vulnerability in Skype for Mac 5.x. This vulnerability, which they blogged about earlier today, is related to a situation when a malicious contact would send a specifically crafted message that could cause Skype for Mac to crash. Note, this message would have to come from someone already in your Skype Contact List, as Skype's default privacy settings will not let you receive messages from people that you have not already authorized, hence the term malicious contact.

At the time they alerted us, we were already aware of the issue and were working on a fix to protect Skype users from this vulnerability, as we take our users' security very seriously. We subsequently released a hotfix for this problem in a minor update (Skype for Mac version 5.1.0.922) on April 14th. As there were no reports of this vulnerability being exploited in the wild, we did not prompt our users to install this update, as there is another update in the pipeline that will be sent out early next week.

This new update will include some additional updates and bug fixes. When it is released, we will notify all Skype for Mac users of the need to update their software (the client will prompt the user to update). In the meantime, we recommend you update your software with the fix made available on April 14th, just click on Skype Check for Updates or you can download the software here .

Please note, Skype's other clients, e.g. Windows and Linux, are not susceptible to this vulnerability.
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.