• Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    Obwohl der bei Windows 10 automatisch mit installierte Skype-Client schon seit Jahren mit einem Nutzerschwund zu kämpfen hat, könnte die neueste Meldung über eine schwere Sicherheitslücke einen noch stärkeren Dämpfer bewirken. Einerseits ermöglicht es diese erst kürzlich entdeckte Sicherheitslücke Angreifern, sich über eine DLL-Hijacking-Technik systemweite Administrator-Rechte zu verschaffen, andererseits kann diese Lücke aber auch nicht ohne Weiteres geschlossen werden. Für Abhilfe könnte einzig ein weitreichender Umbau am Code und damit einhergehend eine komplett neue Version sorgen





    UPDATE vom 16.02.2018 - 16:59 Uhr


    Mittlerweile hat die Skype-Programmmanagerin Ellen Killbourne im MS Anwers Forum eine Stellungsnahme abgegeben, die für Aufklärung sorgen sollte. Sie schreibt ganz offen, dass es durchaus besagte Sicherheitslücke im Updater von Skype gegeben hat, allerdings nur bis zur Version 7.40, deren Installer mittlerweile von der Skype-Homepage entfernt worden sind. Das im Oktober vergangenen Jahres veröffentlichte Installationsprogramm zur Version 8 des Skype-Clients soll von dem Fehler allerdings nicht betroffen sein.





    Demzufolge ist es auch nachvollziehbar, dass Microsoft keine Energien mehr in einen Fix der alten Versionen stecken wird, wenn bereits seit Monaten aktuelle Versionen zur Verfügung stehen, die nicht von dieser Sicherheitslücke betroffen sind. Allerdings musste Microsoft in irgendeiner Form reagieren, da bislang auch noch die Version 7.40 bis vor kurzen über die Skype-Homepage zum Download zur Verfügung stand, wenn auch nur optional.


    Original-Artikel vom 13.02.2018 - 18:12 Uhr


    Dem deutschen Sicherheitsforscher Stefan Kanthak ist es gelungen, im Microsoft Messenger Skype eine schwerwiegende Sicherheitslücke zu entdecken, über welche sich Angreifer systemweite Administratorrechte verschaffen können wodurch sämtliche lokalen Bereiche des Betriebssystems frei zugänglich sind. Die Lücke baut dabei auf der Update-Funktion des Messengers auf, welche mittels der als DLL-Hijacking bekannten Technik anstelle von Aktualisierungen oder Updates Schadcode auf den Rechner installieren kann. Insofern ein Update ansteht, erlaubt die Lücke dem Angreifer, eine manipulierte DLL-Datei einzuschleusen, die laut Aussage von Kanthak nicht nur auf Windows-Systemen, sondern auch unter Linux oder auch OS X für extremen Schaden sorgen kann. Ist der Schadcode erfolgreich installiert worden, können Angreifer nach Belieben Daten stehlen, löschen oder den Besitzer mit einer Ransomware erpressen, von deren Gefahr schon im vergangenen Jahr ausgiebig berichtet worden ist.


    Das Schlimme an der Sache ist aber die Aussage seitens Microsoft, dass diese Lücke nicht ohne Weiteres behoben werden kann, womit ein einfaches Software-Update keine Abhilfe bringt. Vielmehr muss Microsoft jetzt sämtliche Ressourcen aufbringen, schnellstmöglich einen neuen Skype-Clienten zu entwickeln, da ein kompletter Umbau am Programmcode notwendig ist. Aktuell hält sich Microsoft bezüglich der Informationen zurück, wann mit einem entsprechend überarbeiteten Skype-Clienten gerechnet werden kann.



    via zdnet
    Dieser Artikel war interessant bzw. lesenswert? Die Redaktion freut sich über jede Unterstützung wie z.B. die Nutzung unseres -Partner-Links oder unseres -Partner-Links . Du hilfst uns damit, weiterhin auf nervige Layer- sowie Popunder-Werbung zu verzichten und auch allgemein immer mehr Werbebanner abzubauen. Vielen Dank.
    Gefällt dir der Artikel

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    ?

    Meinung des Autors
    Ich war schon Skype-Nutzer, bevor Microsoft diesen Messenger übernommen hat und damals mehr als zufrieden damit. Da sich seitdem aber kaum etwas daran verbessert hat, haben andere Messenger wie WhatsApp die größere Popularität erhalten, was sicherlich nicht nur mir so geht. Skype wird demnach von mir kaum noch genutzt, weshalb es an der Zeit wäre, den Messenger zu deinstallieren und nie wieder zu benutzen. Nutzt ihr noch Skype, oder seid ihr auch schon zu etwas Anderem gewechselt?Jetzt kommentieren!
    Hinweise & Tipps:

    1. Lade dir unsere Windows-10-App herunter, um bei einem neuen Artikel eine Push-Benachrichtung auf deinem Smartphone / Tablet / Desktop-PC zu erhalten
    2. Trage dich in unseren Newsletter ein, um bei einem neuen Artikel per E-Mail informiert zu werden
    3. Oder folge uns auf Facebook, Google oder Twitter um keinen News- oder Tipp-Artikel mehr zu verpassen
    4. Besuche unseren Artikel Windows 10 Fragen und Antworten für Neueinsteiger
    5. Sofern du eine bestimmte Frage zu Windows 10 hast, stelle sie einfach direkt hier
    « Mond Neujahr: Square Enix rabattiert ausgewählte Spiele auf SteamWindows 10 Insider-Programm soll mit Kohorten-Komponente neue Wege einschlagen »
    Ähnliche News zum Artikel

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    Kostenlose Virenschutz-Programme für Windows 10 im Test: Microsoft ziemlich weit hinten
    Der integrierte Virenschutz von Windows erreichte lange Zeit eher schlechte Testergebnisse. Eine Prüforganisation konnte zuletzt aber... mehr
    AMD Ryzen: Preissenkung um bis zu 150 US-Dollar kündigt Nachfolger an - UPDATE III
    Als AMD im vergangenen Jahr mit seinen auf Zen basierenden Ryzen-CPUs den Überraschungserfolg schlechthin feiern konnte, wurde dadurch... mehr
    85 Prozent der weltweiten Windows-10-PCs setzen auf das Fall Creators Update (1709)
    Die Verteilung des (noch) aktuellen Windows 10 Fall Creators Update (1709) hat im Februar 2018 einen neuen Spitzenwert erreicht, welcher... mehr
    Firefox: alle Update-Termine im Jahr 2018 bis Firefox 64 - UPDATE
    02.01.2018, 11:40 Uhr: Der Browser Firefox hat mit dem Update auf Version 57 seine bislang wohl größte Überarbeitung erfahren, doch bei... mehr
    Windows 10: so lässt sich die Kalibrierung von Farben und Helligkeit mit Bordmitteln durchführen - UPDATE
    Der normale Windows-Anwender dürfte von Hause aus über einen nicht kalibrierten Computer verfügen, zumindest was Farbdarstellung und... mehr

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    – deine Meinung ?
    Kommentare
    1. Avatar von chakkman
      chakkman -
      Von einer anderen Seite:

      DLL-Hijacking
      Die Lücke selbst nutzt einen Bug aus, der es erlaubt, den Update-Installer über eine DLL-Hijacking-Technik zu manipulieren. Dabei kann eine Anwendung dazu gebracht werden, Schadcode statt der korrekten Bibliothek herunterzuladen. Ein Angreifer kann die manipulierte DLL in einen temporären Ordner, auf den Zugriff besteht, laden und umbenennen. Nach der Installation verwendet Skype den integrierten Updater, um diese Datei auf dem neuesten Stand zu halten.
      Dann würde mich mal interessieren, wie das möglich ist, ohne Skype selbst lokal auf dem Rechner zu manipulieren. Meiner Meinung nach, gar nicht. Also wahrscheinlich wieder mal eine dieser äußerst theoretischen "kritischen" Sicherheitslücken.

      Übrigens würde mich mal interessieren, was ein "Sicherheitsforscher" ist, wo dieser angestellt ist, und von wem er bezahlt wird.