Kritische Sicherheitslücke in Skype für Linux

Mit Version 2.2.99 des Linux-Clients beseitigt Skype eine seit langem bekannte kritische Schwachstelle in der Linux-Version der Bibliothek Libpng. Es handelt sich dabei wahrscheinlich um den gleichen Fehler, den Mozilla bereits im Februar 2012 in Firefox, Thunderbird und Seamonkey in der PNG-Bibliothek behoben hat.

Die Bibliothek Libpng ist dafür die Verarbeitung von Bilddateien im PNG-Format zuständig. Die kritische Sicherheitslücke befindet sich in der Funktion png_set_text_2(). Die Entwickler von Libpng berichten, das Angreifer einen Speicherfehler ausnutzen können, um über speziell präparierte Bilddateien beliebigen Code einzuschleusen und auszuführen.

Die Lücke selbst befindet sich nur in den statisch gelinkten Versionen für Linux, die Nutzer direkt von Skype.com heruntergeladen haben. Wer Skype über die Paketverwaltung der Distribution installiert hat und das System regelmäßig aktualisiert, ist nicht gefährdet. Die Linux-Distributoren haben die Libpng-Bibliothek bereits vor längerer Zeit auf den neusten Stand gebracht.

Andere Versionen nutzen bereits eine integrierte Version der Bibliothek, in der die Linux-Distributionen bereits gepatcht sind. Auch in speziellen Browserversionen haben die jeweiligen Hersteller die Lücke längst geschlossen.

Skype hat die neue Programmversion für unterschiedliche Linux-Distributionen wie Ubuntu, Debian und Fedora veröffentlicht. Sie können Skype 2.2.x über die Downloadseite herunterladen.