Skype hat ein englisches Secutiry Bulletin (ein Sicherheitshinweis) veröffentlicht, in dem beschrieben wird, wie unter gewissen Umständen durch einen präparierten skype:-Link ungewollt eine Dateiübertragungsfenster geöffnet werden kann. Der Fehler betrifft nur die Windows-Version von Skype und wurde in beiden aktuell verfügbaren Versionen, 2.0 und 2.5 Beta bereits beseitigt. Es wird empfohlen, auf die Aktuelle Windows-Version zu aktualisieren.
Wie kann ich mit einem Link eine Dateiübertragung starten?
Skype-Links lassen sich in Webseiten und E-Mails einbauen und ermöglichen es, bei einem Klick Anrufe und Textunterhaltungen zu beginnen, Profile einzusehen oder einen Kontakt zur Kontaktliste hinzuzufügen. Dazu muss lediglich die Skype-Software installiert sein. (Weitere Informationen zu verschiedenen Arten von Skype-Link.) Mit dem Parameter ?sendfile für diese Links ist es möglich, den Dateiübertragungsdialog für den Transfer zu einem bestimmten Nutzer zu öffnen: skype:benutzer1?sendfile. Mit diesem Link kann jedoch normalerweise nicht bewusst festgelegt werden, welche Datei übertragen werden soll.Worin besteht der Fehler?
Ist ein Skype-Link mit ?sendfile-Parameter auf eine bestimmte fehlerhafte Art formatiert, wird beim Klick auf diesen Link das Dateiübertragungsfenster an einen Kontakt mit einer im Link festgelegten Datei angestossen. Das heisst, dass das normale Dateiübertragungsfenster auf beiden Seiten erscheint, die Übertragungs selbst aber erst noch akzeptiert werden mussWas tut Skype, damit dieser Fehler nicht erneut auftritt?
Die Softwareentwickler der Skype-Links und die Programmierer haben unabhängig voneinander den gesamten Programmcode nochmals mit besonderem Augenmerk auf diese Fehlerart untersucht, da er von allen bisher in Skype gefundenen Fehlern erheblich abweicht. Sie kontnen sicherstellen, dass der vorhanden und auch zukünftiger Code nicht mehr anfällig in dieser Hinsicht ist.Vielen Dank an Brett Moore von Security-Assessment.com Ltd aus Neuseeland, der Skype auf diesen Fehler hingewiesen hat
