Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties
Submitter: doenietzodom

Een enkele regel unicode kan Skype laten crashen. Door het versturen van de tekens crasht het programma bij zowel de zender als de ontvanger. Daarna is het niet meer mogelijk in te loggen, tenzij een oudere versie van het programma geïnstalleerd wordt.

Dat melden gebruikers op Reddit naar aanleiding van berichten op irc. Het probleem doet zich voor bij versie 7 of hoger van de applicatie op OS X, iOS en Windows. Versie 5.x op Android heeft er ook last van. De bug is gemeld bij Skype en sindsdien lijkt het erop dat het programma de gewraakte karaktervolgorde niet meer doorlaat. Linux-gebruikers lijken vooralsnog gevrijwaard van het probleem.

Om van het probleem af te komen, moet op Windows eerst de chat verwijderd worden waar de code instaat, daarna moet het programma worden verwijderd en een oudere, 6.x-versie worden geïnstalleerd. Dan kan er weer ingelogd worden en zou alles weer werken. Op telefoons moet ook eerst de data van Skype verwijderd worden, voor het verwijderen en herinstalleren. Skype laadt namelijk de chat waar de string instaat voordat het programma geheel is gestart.

Techblog Venturebeat heeft verschillende set-ups getest en wist het programma niet te laten crashen op de Mac. Een woordvoerder van Skype heeft tegen de blog gezegd dat het probleem bekend is en dat wordt gezocht naar een oplossing. Op dit moment lijkt Skype de reeks letters en tekens te blokkeren, maar de dienst heeft dit officieel nog niet bevestigd.

Op Skypes eigen forum wordt de exploit ook gemeld. Berichten in chat-groepen hebben ook effect, waardoor sommige mensen niet eens zullen weten wie ze de gewraakte string heeft toegezonden. Skype zelf adviseert mensen die door de exploit geraakt zijn de webversie van het programma te gebruiken.

Vorige week bleek dat iOS kan crashen door een bepaalde reeks karakters in een sms-, iMessage- of Twitterbericht. Het gaat om een specifieke combinatie van Latijnse en Arabische tekens. Er is nog geen volledig werkende fix voor het probleem uitgekomen.

Update 3 juni 17.03: Microsoft meldt dat de problemen zijn opgelost. Gebruikers moeten daarvoor de laatste versie van het programma downloaden vanaf de Skype-website.

skype http hack

Moderatie-faq Wijzig weergave

Reacties (95)

Krijg een neiging om het te testen (seeing is believing) maar is beetje zuur voor de ontvanger gezien de benodigde moeite om het weer werkend te krijgen... :)
Wel erg slordig want dit zou al voor kunnen komen als iemand een url beetje verkeerd overtypt of copy-paste.
Wel zal je het zelf ook opnieuw moeten installeren, dit zorgt er waarschijnlijk voor dat er minder mee word gespammed dan met de iphone bug
Of je draait Mac of Linux :P Dan heb je zo te zien nergens last van, wat mij wel verbaast. Zou dit met de teken-afhandeling te maken hebben (Linux met unicode, Windows met ASCII)?
Ik denk eerder met het feit dat de Linux client verouderd is, en dus de nieuwe bug niet heeft.

Edit:typo

[Reactie gewijzigd door Goderic op 3 juni 2015 12:28]

Ik denk eerder met het feit dat de Linux client verouderd is, en dus de nieuwe big niet heeft.
De Linux-client werkt dan ook nog zonder Windows Live-account. De nieuwere Windows-clients bijvoorbeeld niet (in Windows 8+ kun je niet meer Skypen zonder Live-account).
Niet helemaal waar. De desktop versie is namelijk prima bruikbaar met je skype handle, zelfde geld ook op android .De windows app (dus de modern app) is een ander verhaal.
"Het probleem doet zich voor bij versie 7 of hoger van de applicatie op OS X, iOS en Windows. "
Zojuist getest in een groepschat en resultaat je eigen skype crashed, je moet vervolgens even de process killen en je kan skype weer opstarten.

[Reactie gewijzigd door Azerion op 4 juni 2015 09:06]

Of gewoon geen onnodige services draaien :p

Volgens mij werkt het best zonder, of alleen on demand.
realiseer me nu dat het Proces moest zijn en niet service :P aangepast.
De bug is al gefixed. Je kan Skype gewoon weer opnieuw opstarten na de crash.

Heb het getest op een of ander vrouwelijk figuur dat me ooit toevoegde om me over te halen naar d'r webcam-paywall-site te gaan :D

Maar de echo service werkt allicht ook. Hoewel MS dan ziet dat je aan het exploiten bent, lijkt me minder geschikt voor de levensduur van je account.
Haha en die contacten blok je niet ;) ??
Gezellig praatje mee proberen te maken, en kijken hoe vaak ze me naar d'r site probeert te krijgen ;)

Beetje trollen :D
Het is maar wat je gezellig noemt, de tekst is altijd hetzelfde :+

Ze reageert niet eens op wat je zegt, gewoon een bot die elke keer opnieuw dezelfde regels tekst geeft... Wat was het ook alweer?

27/f
My girlfriend was doing this kind of crazy thing online
I am going to take my toys, see you in chat
A creditcard is needed just to verify that you're old enough
I have some free tickets
I will first do some warming up sessions

Iets in die richting :+

(Ik weet dat dit offtopic is, het spijt me)
Vandaar ook, "proberen" :P. Het was wel een mens in ieder geval, ze reageerde (voor haar doen) inhoudelijk :+
Eerst het notificatiecentrumv an iPhones en dergelijke, nu Skype dat crashed n.a.v. speciale tekens e.d., wat is het/de volgende programma/systeem/app die crashed door een reeks karakters? :X

Veel eerder heb ik nog niet gehoord van dergelijke crashes, is dit iets nieuws nu mensen meer en meer proberen 'grappig' te zijn of nu bepaalde zaken aan het licht komen en mensen gaan experimenteren? (N.a.v. de problemen met notificaties bij iOS).


En hoe zit dit dan in bijv. Arabische landen waar men voornamelijk dit soort tekens/teksten gebruikt? Komen deze crashes daar ook voor of is de software daar aangepast? En zo ja, waarom dan in het 'moderne westen' niet?


Vragen, vragen, vragen... :D
Buffer overflows komen in alle soorten en maten voor, dit is echt niets nieuws.
Buffer overflows komen in alle soorten en maten voor, dit is echt niets nieuws.
De lengte van de opgegeven reeks (8 tekens) in aanmerking nemend, kan ik dit niet echt onder een buffer overflow scharen.
Waarschijnlijk gaat het erom dat Skype speciale methoden aanroept om hyperlinks te herkennen (http://) en clickable te maken, die dubbele punt die ze achter de // zetten scheidt normaliter de hostname van een eventuele poort. Goede kans dat het misloopt op het feit dat de hostname null is, en de lege poort waarde eventueel ook.

Allicht dat je Skype daarna niet meer kon opstarten, omdat je meest recente conversatie bovenaan staat en gelijk weer geopend wordt, en die code gelijk weer uitgevoerd wordt. Waarschijnlijk hebben ze dus die tekst uit hun inkomende berichtenstream op de server gefilterd als tijdelijke fix. Ik heb de bug zelf getest, Skype crasht inderdaad, maar eenmaal opgestart vind je de tekst niet meer terug in je chatlog.

Overigens, als dit de gehele bug is, dan heeft het niets met unicode te maken.

[Reactie gewijzigd door Engineer op 3 juni 2015 13:02]

Dat maakt het nog geen buffer overflow, alleen lakse input controle (zoals The Zep Man hieronder ook al aangaf om 12:53).
Buffer overflows komen in alle soorten en maten voor, dit is echt niets nieuws.
Dit is geen buffer overflow, maar gewoon lakse input controle.

Eén van de kernregels bij programmeren is dat je nooit mag verwachten dat je input zich voldoet aan enige standaard. Hoe sterk je deze regel in de praktijk implementeert ligt natuurlijk aan het soort input en hoe kritisch de software is. Bij een chatclient zou ik de inputcontrole tot het maximum mogelijk uitvoeren. Immers staat een chatclient het toe om input te ontvangen van onbetrouwbare externe processen.

Het kan natuurlijk zijn dat dit komt door een onderliggende library, wat ik eerder vermoed. Immers kan je ook andere programma's met de betreffende string laten crashen. Toch blijft het slordig.

[Reactie gewijzigd door The Zep Man op 3 juni 2015 12:57]

Voor de mensen die benieuwd waren naar de tekst: https://dl.dropboxusercon.../code/skype%20exploit.txt
Haha, als je deze tekst plakt, en kopieert in Visual Studio dan crasht het ook ;)
Hmm, in andere apps lijkt het goed te gaan, heb tot zo ver niks kunnen laten crashen met die string.
De Slack Windows Desktop app crashed wel met die string.

Edit: De nieuwste Word wordt ook ontzettend traag als je met de string gaat spelen, zoals het veranderen van het font, layout en dergelijke.

[Reactie gewijzigd door XxRenéxX op 3 juni 2015 13:54]

Slack op Mac en ScudCloud op Linux hebben er geen last van. Gebruiken ze niet CEF? Dan zou je verwachten dat het met alle CEF apps mis gaat.
lijkt erop dat microsoft voor al hun programma's dezelfde input controle voor URL's gebruikt
Het enige wat je hiervoor moet doen is "http://:" typen, zonder haakjes ofcourse.
Moest het natuurlijk even testen, maar bij mij crashte skype lokaal even herstarten en hij deed het weer.
Ik moest hem meteen opnieuw installeren.
Heb je het proces gekilled vanuit task manager? daar blijft hij namelijk open staan.

[Reactie gewijzigd door Azerion op 4 juni 2015 09:07]

En zonder aanhalingstekens
En inmiddels is er een update beschikbaar waarin dit verholpen is.
Onder help, check for update.
Je Skype wordt geupdate naar versie 7.5.0.102 :)
Security through obscurity, ik weet het, maar doe dit nou niet...
Skype heeft het al gefixt. Calm your nipples.
Alsof iedereen de update installeert...
Het is server side gefixt.
Worden skype updates niet automatisch uitgerold?
Het gaat het om een erg simpele regel. Ik begrijp niet hoe een applicatie zo makkelijk kan crashen. En de procedure om het ongedaan te maken is ook niet om over naar huis te schrijven!

Laatste tijd wel veel desbetreffende problemen. Iemand bezig om alle mogelijke combinaties van karakters in applicaties te pushen? :P

[Reactie gewijzigd door Ask! op 3 juni 2015 11:59]

Ik denk dat dit er gebeurt. Skype krijgt bericht met http:// binnen, Skype gaat op de achtergrond de pagina laden om het favicon en de pagina titel op te halen. Er zat/zit geen juiste validatie op of de URL echt valide is, en checkt alleen of er http:// voorkomt, Skype probeert invalide URL te laden en Skype crasht
Wat mij enigszins verbaasd is dat Skype mogelijk de reeks letters en tekens blokkeert. Kan dit zomaar?
Het kan natuurlijk dat de App zelf een blacklist heeft in de parser die links omzet. Het gaat hier kennelijk om een HTTP hack achtig iets en die parser kan sws de tekst al inzien die jij wil versturen. Dit is iets anders dan dat de NSA direct meeleest (want dat is natuurlijk het hele doel van je post: als ze het kunnen blokkeren kunnen ze het dus lezen).
hij verzend het bericht niet, blokkeert skype de regel?
Zou wel het slimste zijn.
Geen opmerkingen dat dit gejat is van Apple? :Y)
Just kidding, just kidding. ;)

"Linux-gebruikers lijken vooralsnog gevrijwaard van het probleem."
En daarom gebruik ik het.

Nee grapjes natuurlijk, nu ff zonder gekkigheid:
Ik ben wel benieuwd wat er zo fundamenteel anders is geprogrammeerd aan de Linux client dat deze er geen last van heeft. Waarom is daar wel goed gelet op het parsen van deze data, en bij Windows/MacOS/Android niet? Zou toch wel eens willen zien hoe ze dit nou precies parsen.

Ik vind het wel een mooie trouwens. :)
Die voor iMessage had iemand echt moeite en tijd in gestoken om het te ontdekken en te laten crashen, want dat waren erg leipe tekentjes. In dit geval gok ik dat het puur bij toeval door een typo is gekomen. :P

-edit-
Hmm, de comments en reddit lezende, lijkt het er op dat hier twee problemen tegelijk spelen met Skype. Nevermind the last part then. :)

[Reactie gewijzigd door WhatsappHack op 3 juni 2015 15:04]

Ik ben wel benieuwd wat er zo fundamenteel anders is geprogrammeerd aan de Linux client dat deze er geen last van heeft.
Dat is slechts een aanname.. Wellicht volgende week een bericht over een bericht dat iets in Linux laat crashen. Dat het nu niet bekend is wil niet zeggen dat het er niet is. Dat zie je wel aan deze van Skype (en enkele andere MS-producten die waarschijnlijk dezelfde parser gebruiken).
Ik vraag mij af hoe zij het bericht blokkeren. Bij cloud-chats snap ik dat het gefilterd kan worden, maar bij de P2P chats lijkt mij dit toch lastiger. Dit zou (theoretisch gezien) direct naar de ontvanger gaan.

Bij ons in het bedrijf werken wij nog met de P2P group chats omdat de cloud chat niet door onze firewall heen gaat.
Skype is gewoon afluisterbaar, dus het is ook af te vangen.
Op het moment dat je dergelijke dingen gaat doen is het dus inderdaad lastig om onder het privacy geneuzel vandaan te komen. FB blokkeerde het Effective power gezeik bij mij ook. Dus voor mij weer een bevestiging dat ze nul komma nul aan encryptie doen en doodleuk meelezen, want de app zelf is te traag om dit op deze manier af te kunnen vangen (hij probeert het bericht namelijk wel te versturen, maar dit wordt actief geweerd door de server). WhatsApp bijvoorbeeld kan dit niet doen, omdat ze end to end encryptie "zouden" gebruiken (geen idee of dit daadwerkelijk zo gebeurt).

Wat skype echter wel kan doen (wat FB sws niet doet en whatsapp nog niet ondersteund), is een blacklist in het programma meegeven wat daar rechtstreeks actief dingen blokkeert zodat deze niet worden verstuurd. Dit kan simpelweg door een externe server met een woordenlijst te hosten en die iedere keer te updaten in de app zelf, dus zonder dat er verkeer is richting deze server en alles dus nog steeds met encryptie kan gebeuren.
Lokale blacklist lijkt me.
Hij lijkt inmiddels niet meer te werken, stuurde het naar een vriend toe maar hij kreeg ‘This message has been removed.’

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True