Mal wieder schließt Skype Sicherheitslücken, ohne seine Anwender zu informieren. Wie nämlich jetzt bekannt wurde, hat das Update auf Version 3.6 eine kritische Sicherheitslücke geschlossen, die es Angreifern ermöglichte, beliebigen Schadcode mit den Rechten des Nutzers auf dem Rechner auszuführen.

Der Fehler lag in der Datei skype4COM.dll, die für den URI-Handler skype4com zuständlich ist. Es genügte schon der Besuch einer verseuchten Website, wodurch sich Buffer Overflow provozieren ließ und somit beliebiger Code auf dem System ausführbar war. Unklar ist, ob der Fehler durch die kurz zuvor bekannt gewordene URI-Lücke entstanden ist.

Der Hersteller rät dringend zu einem Update auf die neue Version, sofern noch eine ältere als Skype 3.6 verwendet wird. Ohnehin bekommen Anwender den Hinweis, dass eine Major-Version zur Verfügung steht.