Reeks karakters in bericht kan Skype laten crashen - update

Een enkele regel unicode kan Skype laten crashen. Door het versturen van de tekens crasht het programma bij zowel de zender als de ontvanger. Daarna is het niet meer mogelijk in te loggen, tenzij een oudere versie van het programma geïnstalleerd wordt.

Dat melden gebruikers op Reddit naar aanleiding van berichten op irc. Het probleem doet zich voor bij versie 7 of hoger van de applicatie op OS X, iOS en Windows. Versie 5.x op Android heeft er ook last van. De bug is gemeld bij Skype en sindsdien lijkt het erop dat het programma de gewraakte karaktervolgorde niet meer doorlaat. Linux-gebruikers lijken vooralsnog gevrijwaard van het probleem.

Om van het probleem af te komen, moet op Windows eerst de chat verwijderd worden waar de code instaat, daarna moet het programma worden verwijderd en een oudere, 6.x-versie worden geïnstalleerd. Dan kan er weer ingelogd worden en zou alles weer werken. Op telefoons moet ook eerst de data van Skype verwijderd worden, voor het verwijderen en herinstalleren. Skype laadt namelijk de chat waar de string instaat voordat het programma geheel is gestart.

Techblog Venturebeat heeft verschillende set-ups getest en wist het programma niet te laten crashen op de Mac. Een woordvoerder van Skype heeft tegen de blog gezegd dat het probleem bekend is en dat wordt gezocht naar een oplossing. Op dit moment lijkt Skype de reeks letters en tekens te blokkeren, maar de dienst heeft dit officieel nog niet bevestigd.

Op Skypes eigen forum wordt de exploit ook gemeld. Berichten in chat-groepen hebben ook effect, waardoor sommige mensen niet eens zullen weten wie ze de gewraakte string heeft toegezonden. Skype zelf adviseert mensen die door de exploit geraakt zijn de webversie van het programma te gebruiken.

Vorige week bleek dat iOS kan crashen door een bepaalde reeks karakters in een sms-, iMessage- of Twitterbericht. Het gaat om een specifieke combinatie van Latijnse en Arabische tekens. Er is nog geen volledig werkende fix voor het probleem uitgekomen.

Update 3 juni 17.03: Microsoft meldt dat de problemen zijn opgelost. Gebruikers moeten daarvoor de laatste versie van het programma downloaden vanaf de Skype-website.

skype http hack

Door Krijn Soeteman

Freelanceredacteur

Feedback • 03-06-2015 11:32
95 • submitter: Verwijderd

03-06-2015 • 11:32

95

Submitter: Verwijderd

Lees meer

Eindelijk: bitcoin-teken en ufo-emoji worden onderdeel van Unicode-standaard
Eindelijk: bitcoin-teken en ufo-emoji worden onderdeel van Unicode-standaard .Geek van 21 juni 2017
Messages-dienst voor OS X bevatte kwetsbaarheid die berichten prijsgaf
Messages-dienst voor OS X bevatte kwetsbaarheid die berichten prijsgaf Nieuws van 8 april 2016
Gebruikers van iOS en OS X hebben last van crash in Safari - update
Gebruikers van iOS en OS X hebben last van crash in Safari - update Nieuws van 27 januari 2016
Skype voor Android laat gebruikers gesprekken inplannen
Skype voor Android laat gebruikers gesprekken inplannen Nieuws van 21 januari 2016
Microsoft trekt stekker uit Modern UI-versie Skype
Microsoft trekt stekker uit Modern UI-versie Skype Nieuws van 12 juni 2015
Skype maakt bèta van webapplicatie beschikbaar
Skype maakt bèta van webapplicatie beschikbaar Nieuws van 5 juni 2015
Apple publiceert tijdelijke oplossing voor berichten-vastlopers
Apple publiceert tijdelijke oplossing voor berichten-vastlopers Nieuws van 29 mei 2015
Oudere Android-versies zijn vatbaar voor ernstige privacybug
Oudere Android-versies zijn vatbaar voor ernstige privacybug Nieuws van 16 september 2014
Kijkers Samsung Smart-tv's waren te bespioneren via camera
Kijkers Samsung Smart-tv's waren te bespioneren via camera Nieuws van 1 augustus 2013
Data Execution Prevention ziet Skype 2.0 als overtreder
Data Execution Prevention ziet Skype 2.0 als overtreder Nieuws van 18 januari 2006
Meer producten en artikelen
Netwerk en systeembeheer Skype

Reacties (95)

-Moderatie-faq
95
89
53
0
0
0
Wijzig sortering
MaartenBos 3 juni 2015 11:37
Krijg een neiging om het te testen (seeing is believing) maar is beetje zuur voor de ontvanger gezien de benodigde moeite om het weer werkend te krijgen... :)
Wel erg slordig want dit zou al voor kunnen komen als iemand een url beetje verkeerd overtypt of copy-paste.
prutsr @MaartenBos3 juni 2015 11:39
Wel zal je het zelf ook opnieuw moeten installeren, dit zorgt er waarschijnlijk voor dat er minder mee word gespammed dan met de iphone bug
FreezeXJ @prutsr3 juni 2015 11:49
Of je draait Mac of Linux :P Dan heb je zo te zien nergens last van, wat mij wel verbaast. Zou dit met de teken-afhandeling te maken hebben (Linux met unicode, Windows met ASCII)?
Goderic @FreezeXJ3 juni 2015 11:53
Ik denk eerder met het feit dat de Linux client verouderd is, en dus de nieuwe bug niet heeft.

Edit:typo

[Reactie gewijzigd door Goderic op 23 juli 2024 06:55]

Stoney3K @Goderic3 juni 2015 11:58
Ik denk eerder met het feit dat de Linux client verouderd is, en dus de nieuwe big niet heeft.
De Linux-client werkt dan ook nog zonder Windows Live-account. De nieuwere Windows-clients bijvoorbeeld niet (in Windows 8+ kun je niet meer Skypen zonder Live-account).
icratox @Stoney3K3 juni 2015 12:40
Niet helemaal waar. De desktop versie is namelijk prima bruikbaar met je skype handle, zelfde geld ook op android .De windows app (dus de modern app) is een ander verhaal.
prutsr @FreezeXJ3 juni 2015 11:53
"Het probleem doet zich voor bij versie 7 of hoger van de applicatie op OS X, iOS en Windows. "
Azerion @MaartenBos3 juni 2015 11:49
Zojuist getest in een groepschat en resultaat je eigen skype crashed, je moet vervolgens even de process killen en je kan skype weer opstarten.

[Reactie gewijzigd door Azerion op 23 juli 2024 06:55]

Marctraider @Azerion3 juni 2015 22:16
Of gewoon geen onnodige services draaien :p

Volgens mij werkt het best zonder, of alleen on demand.
Azerion @Marctraider4 juni 2015 09:07
realiseer me nu dat het Proces moest zijn en niet service :P aangepast.
Engineer @MaartenBos3 juni 2015 13:01
De bug is al gefixed. Je kan Skype gewoon weer opnieuw opstarten na de crash.

Heb het getest op een of ander vrouwelijk figuur dat me ooit toevoegde om me over te halen naar d'r webcam-paywall-site te gaan :D

Maar de echo service werkt allicht ook. Hoewel MS dan ziet dat je aan het exploiten bent, lijkt me minder geschikt voor de levensduur van je account.
kritischelezer @Engineer3 juni 2015 13:29
Haha en die contacten blok je niet ;) ??
Engineer @kritischelezer3 juni 2015 14:49
Gezellig praatje mee proberen te maken, en kijken hoe vaak ze me naar d'r site probeert te krijgen ;)

Beetje trollen :D
ManIkWeet @Engineer3 juni 2015 15:15
Het is maar wat je gezellig noemt, de tekst is altijd hetzelfde :+

Ze reageert niet eens op wat je zegt, gewoon een bot die elke keer opnieuw dezelfde regels tekst geeft... Wat was het ook alweer?

27/f
My girlfriend was doing this kind of crazy thing online
I am going to take my toys, see you in chat
A creditcard is needed just to verify that you're old enough
I have some free tickets
I will first do some warming up sessions

Iets in die richting :+

(Ik weet dat dit offtopic is, het spijt me)
Engineer @ManIkWeet3 juni 2015 15:25
Vandaar ook, "proberen" :P. Het was wel een mens in ieder geval, ze reageerde (voor haar doen) inhoudelijk :+
Vickiieee 3 juni 2015 11:36
Eerst het notificatiecentrumv an iPhones en dergelijke, nu Skype dat crashed n.a.v. speciale tekens e.d., wat is het/de volgende programma/systeem/app die crashed door een reeks karakters? :X

Veel eerder heb ik nog niet gehoord van dergelijke crashes, is dit iets nieuws nu mensen meer en meer proberen 'grappig' te zijn of nu bepaalde zaken aan het licht komen en mensen gaan experimenteren? (N.a.v. de problemen met notificaties bij iOS).


En hoe zit dit dan in bijv. Arabische landen waar men voornamelijk dit soort tekens/teksten gebruikt? Komen deze crashes daar ook voor of is de software daar aangepast? En zo ja, waarom dan in het 'moderne westen' niet?


Vragen, vragen, vragen... :D
SidewalkSuper @Vickiieee3 juni 2015 11:43
Buffer overflows komen in alle soorten en maten voor, dit is echt niets nieuws.
Freee!! @SidewalkSuper3 juni 2015 12:04
Buffer overflows komen in alle soorten en maten voor, dit is echt niets nieuws.
De lengte van de opgegeven reeks (8 tekens) in aanmerking nemend, kan ik dit niet echt onder een buffer overflow scharen.
Engineer @Freee!!3 juni 2015 12:50
Waarschijnlijk gaat het erom dat Skype speciale methoden aanroept om hyperlinks te herkennen (http://) en clickable te maken, die dubbele punt die ze achter de // zetten scheidt normaliter de hostname van een eventuele poort. Goede kans dat het misloopt op het feit dat de hostname null is, en de lege poort waarde eventueel ook.

Allicht dat je Skype daarna niet meer kon opstarten, omdat je meest recente conversatie bovenaan staat en gelijk weer geopend wordt, en die code gelijk weer uitgevoerd wordt. Waarschijnlijk hebben ze dus die tekst uit hun inkomende berichtenstream op de server gefilterd als tijdelijke fix. Ik heb de bug zelf getest, Skype crasht inderdaad, maar eenmaal opgestart vind je de tekst niet meer terug in je chatlog.

Overigens, als dit de gehele bug is, dan heeft het niets met unicode te maken.

[Reactie gewijzigd door Engineer op 23 juli 2024 06:55]

Freee!! @Engineer3 juni 2015 13:53
Dat maakt het nog geen buffer overflow, alleen lakse input controle (zoals The Zep Man hieronder ook al aangaf om 12:53).
Engineer @Freee!!3 juni 2015 14:42
Correct :)
The Zep Man
@SidewalkSuper3 juni 2015 12:53
Buffer overflows komen in alle soorten en maten voor, dit is echt niets nieuws.
Dit is geen buffer overflow, maar gewoon lakse input controle.

Eén van de kernregels bij programmeren is dat je nooit mag verwachten dat je input zich voldoet aan enige standaard. Hoe sterk je deze regel in de praktijk implementeert ligt natuurlijk aan het soort input en hoe kritisch de software is. Bij een chatclient zou ik de inputcontrole tot het maximum mogelijk uitvoeren. Immers staat een chatclient het toe om input te ontvangen van onbetrouwbare externe processen.

Het kan natuurlijk zijn dat dit komt door een onderliggende library, wat ik eerder vermoed. Immers kan je ook andere programma's met de betreffende string laten crashen. Toch blijft het slordig.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 06:55]

K3IZ3R 3 juni 2015 12:26
Voor de mensen die benieuwd waren naar de tekst: https://dl.dropboxusercon.../code/skype%20exploit.txt
seth007 @K3IZ3R3 juni 2015 12:49
Haha, als je deze tekst plakt, en kopieert in Visual Studio dan crasht het ook ;)
johnkeates @seth0073 juni 2015 12:57
Hmm, in andere apps lijkt het goed te gaan, heb tot zo ver niks kunnen laten crashen met die string.
XxRenéxX @johnkeates3 juni 2015 13:49
De Slack Windows Desktop app crashed wel met die string.

Edit: De nieuwste Word wordt ook ontzettend traag als je met de string gaat spelen, zoals het veranderen van het font, layout en dergelijke.

[Reactie gewijzigd door XxRenéxX op 23 juli 2024 06:55]

johnkeates @XxRenéxX3 juni 2015 16:03
Slack op Mac en ScudCloud op Linux hebben er geen last van. Gebruiken ze niet CEF? Dan zou je verwachten dat het met alle CEF apps mis gaat.
jeroen7s @XxRenéxX3 juni 2015 16:07
lijkt erop dat microsoft voor al hun programma's dezelfde input controle voor URL's gebruikt
Landon 3 juni 2015 11:36
Het enige wat je hiervoor moet doen is "http://:" typen, zonder haakjes ofcourse.
Azerion @Landon3 juni 2015 11:44
Moest het natuurlijk even testen, maar bij mij crashte skype lokaal even herstarten en hij deed het weer.
Landon @Azerion3 juni 2015 11:46
Ik moest hem meteen opnieuw installeren.
Azerion @Landon3 juni 2015 11:48
Heb je het proces gekilled vanuit task manager? daar blijft hij namelijk open staan.

[Reactie gewijzigd door Azerion op 23 juli 2024 06:55]

anargeek @Landon3 juni 2015 11:40
En zonder aanhalingstekens
Rinaldootje @anargeek3 juni 2015 15:51
En inmiddels is er een update beschikbaar waarin dit verholpen is.
Onder help, check for update.
Je Skype wordt geupdate naar versie 7.5.0.102 :)
Moirraine @Landon3 juni 2015 11:49
Security through obscurity, ik weet het, maar doe dit nou niet...
t1mmy @Moirraine3 juni 2015 12:25
Skype heeft het al gefixt. Calm your nipples.
Verwijderd @t1mmy3 juni 2015 16:12
Alsof iedereen de update installeert...
t1mmy @Verwijderd3 juni 2015 16:32
Het is server side gefixt.
lappro @Verwijderd3 juni 2015 17:15
Worden skype updates niet automatisch uitgerold?
Ask! 3 juni 2015 11:41
Het gaat het om een erg simpele regel. Ik begrijp niet hoe een applicatie zo makkelijk kan crashen. En de procedure om het ongedaan te maken is ook niet om over naar huis te schrijven!

Laatste tijd wel veel desbetreffende problemen. Iemand bezig om alle mogelijke combinaties van karakters in applicaties te pushen? :P

[Reactie gewijzigd door Ask! op 23 juli 2024 06:55]

t1mmy @Ask!3 juni 2015 11:50
Ik denk dat dit er gebeurt. Skype krijgt bericht met http:// binnen, Skype gaat op de achtergrond de pagina laden om het favicon en de pagina titel op te halen. Er zat/zit geen juiste validatie op of de URL echt valide is, en checkt alleen of er http:// voorkomt, Skype probeert invalide URL te laden en Skype crasht
GerardVanAfoort 3 juni 2015 11:42
Wat mij enigszins verbaasd is dat Skype mogelijk de reeks letters en tekens blokkeert. Kan dit zomaar?
supersnathan94 @GerardVanAfoort3 juni 2015 11:50
Het kan natuurlijk dat de App zelf een blacklist heeft in de parser die links omzet. Het gaat hier kennelijk om een HTTP hack achtig iets en die parser kan sws de tekst al inzien die jij wil versturen. Dit is iets anders dan dat de NSA direct meeleest (want dat is natuurlijk het hele doel van je post: als ze het kunnen blokkeren kunnen ze het dus lezen).
peulkn 3 juni 2015 11:52
hij verzend het bericht niet, blokkeert skype de regel?
Balder© @peulkn3 juni 2015 12:01
Zou wel het slimste zijn.
WhatsappHack
3 juni 2015 15:02
Geen opmerkingen dat dit gejat is van Apple? :Y)
Just kidding, just kidding. ;)

"Linux-gebruikers lijken vooralsnog gevrijwaard van het probleem."
En daarom gebruik ik het.

Nee grapjes natuurlijk, nu ff zonder gekkigheid:
Ik ben wel benieuwd wat er zo fundamenteel anders is geprogrammeerd aan de Linux client dat deze er geen last van heeft. Waarom is daar wel goed gelet op het parsen van deze data, en bij Windows/MacOS/Android niet? Zou toch wel eens willen zien hoe ze dit nou precies parsen.

Ik vind het wel een mooie trouwens. :)
Die voor iMessage had iemand echt moeite en tijd in gestoken om het te ontdekken en te laten crashen, want dat waren erg leipe tekentjes. In dit geval gok ik dat het puur bij toeval door een typo is gekomen. :P

-edit-
Hmm, de comments en reddit lezende, lijkt het er op dat hier twee problemen tegelijk spelen met Skype. Nevermind the last part then. :)

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 06:55]

Verwijderd @WhatsappHack3 juni 2015 16:27
Ik ben wel benieuwd wat er zo fundamenteel anders is geprogrammeerd aan de Linux client dat deze er geen last van heeft.
Dat is slechts een aanname.. Wellicht volgende week een bericht over een bericht dat iets in Linux laat crashen. Dat het nu niet bekend is wil niet zeggen dat het er niet is. Dat zie je wel aan deze van Skype (en enkele andere MS-producten die waarschijnlijk dezelfde parser gebruiken).
MoonRaven 3 juni 2015 11:42
Ik vraag mij af hoe zij het bericht blokkeren. Bij cloud-chats snap ik dat het gefilterd kan worden, maar bij de P2P chats lijkt mij dit toch lastiger. Dit zou (theoretisch gezien) direct naar de ontvanger gaan.

Bij ons in het bedrijf werken wij nog met de P2P group chats omdat de cloud chat niet door onze firewall heen gaat.
SidewalkSuper @MoonRaven3 juni 2015 11:45
Skype is gewoon afluisterbaar, dus het is ook af te vangen.
supersnathan94 @MoonRaven3 juni 2015 14:37
Op het moment dat je dergelijke dingen gaat doen is het dus inderdaad lastig om onder het privacy geneuzel vandaan te komen. FB blokkeerde het Effective power gezeik bij mij ook. Dus voor mij weer een bevestiging dat ze nul komma nul aan encryptie doen en doodleuk meelezen, want de app zelf is te traag om dit op deze manier af te kunnen vangen (hij probeert het bericht namelijk wel te versturen, maar dit wordt actief geweerd door de server). WhatsApp bijvoorbeeld kan dit niet doen, omdat ze end to end encryptie "zouden" gebruiken (geen idee of dit daadwerkelijk zo gebeurt).

Wat skype echter wel kan doen (wat FB sws niet doet en whatsapp nog niet ondersteund), is een blacklist in het programma meegeven wat daar rechtstreeks actief dingen blokkeert zodat deze niet worden verstuurd. Dit kan simpelweg door een externe server met een woordenlijst te hosten en die iedere keer te updaten in de app zelf, dus zonder dat er verkeer is richting deze server en alles dus nog steeds met encryptie kan gebeuren.
johnkeates @MoonRaven3 juni 2015 16:04
Lokale blacklist lijkt me.
t1mmy 3 juni 2015 11:45
Hij lijkt inmiddels niet meer te werken, stuurde het naar een vriend toe maar hij kreeg ‘This message has been removed.’

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq