• Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    Obwohl der bei Windows 10 automatisch mit installierte Skype-Client schon seit Jahren mit einem Nutzerschwund zu kämpfen hat, könnte die neueste Meldung über eine schwere Sicherheitslücke einen noch stärkeren Dämpfer bewirken. Einerseits ermöglicht es diese erst kürzlich entdeckte Sicherheitslücke Angreifern, sich über eine DLL-Hijacking-Technik systemweite Administrator-Rechte zu verschaffen, andererseits kann diese Lücke aber auch nicht ohne Weiteres geschlossen werden. Für Abhilfe könnte einzig ein weitreichender Umbau am Code und damit einhergehend eine komplett neue Version sorgen





    UPDATE vom 16.02.2018 - 16:59 Uhr


    Mittlerweile hat die Skype-Programmmanagerin Ellen Killbourne im MS Anwers Forum eine Stellungsnahme abgegeben, die für Aufklärung sorgen sollte. Sie schreibt ganz offen, dass es durchaus besagte Sicherheitslücke im Updater von Skype gegeben hat, allerdings nur bis zur Version 7.40, deren Installer mittlerweile von der Skype-Homepage entfernt worden sind. Das im Oktober vergangenen Jahres veröffentlichte Installationsprogramm zur Version 8 des Skype-Clients soll von dem Fehler allerdings nicht betroffen sein.



    <CENTER><blockquote class="twitter-tweet" data-lang="de"><p lang="en" dir="ltr">Microsoft says it fixed the Skype security flaw back in October 2017 that was misreported this week <a href="https://t.co/w9OcC3iOae">https://t.co/w9OcC3iOae</a></p>&mdash; Tom Warren (@tomwarren) <a href="https://twitter.com/tomwarren/status/964235992898195459?ref_src=twsrc%5Etfw">15. Februar 2018</a></blockquote>

    <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script></CENTER>



    Demzufolge ist es auch nachvollziehbar, dass Microsoft keine Energien mehr in einen Fix der alten Versionen stecken wird, wenn bereits seit Monaten aktuelle Versionen zur Verfügung stehen, die nicht von dieser Sicherheitslücke betroffen sind. Allerdings musste Microsoft in irgendeiner Form reagieren, da bislang auch noch die Version 7.40 bis vor kurzen über die Skype-Homepage zum Download zur Verfügung stand, wenn auch nur optional.


    Original-Artikel vom 13.02.2018 - 18:12 Uhr


    Dem deutschen Sicherheitsforscher Stefan Kanthak ist es gelungen, im Microsoft Messenger Skype eine schwerwiegende Sicherheitslücke zu entdecken, über welche sich Angreifer systemweite Administratorrechte verschaffen können wodurch sämtliche lokalen Bereiche des Betriebssystems frei zugänglich sind. Die Lücke baut dabei auf der Update-Funktion des Messengers auf, welche mittels der als DLL-Hijacking bekannten Technik anstelle von Aktualisierungen oder Updates Schadcode auf den Rechner installieren kann. Insofern ein Update ansteht, erlaubt die Lücke dem Angreifer, eine manipulierte DLL-Datei einzuschleusen, die laut Aussage von Kanthak nicht nur auf Windows-Systemen, sondern auch unter Linux oder auch OS X für extremen Schaden sorgen kann. Ist der Schadcode erfolgreich installiert worden, können Angreifer nach Belieben Daten stehlen, löschen oder den Besitzer mit einer Ransomware erpressen, von deren Gefahr schon im vergangenen Jahr ausgiebig berichtet worden ist.


    Das Schlimme an der Sache ist aber die Aussage seitens Microsoft, dass diese Lücke nicht ohne Weiteres behoben werden kann, womit ein einfaches Software-Update keine Abhilfe bringt. Vielmehr muss Microsoft jetzt sämtliche Ressourcen aufbringen, schnellstmöglich einen neuen Skype-Clienten zu entwickeln, da ein kompletter Umbau am Programmcode notwendig ist. Aktuell hält sich Microsoft bezüglich der Informationen zurück, wann mit einem entsprechend überarbeiteten Skype-Clienten gerechnet werden kann.



    via zdnet
    Gefällt dir der Artikel

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    ?

    Meinung des Autors
    Ich war schon Skype-Nutzer, bevor Microsoft diesen Messenger übernommen hat und damals mehr als zufrieden damit. Da sich seitdem aber kaum etwas daran verbessert hat, haben andere Messenger wie WhatsApp die größere Popularität erhalten, was sicherlich nicht nur mir so geht. Skype wird demnach von mir kaum noch genutzt, weshalb es an der Zeit wäre, den Messenger zu deinstallieren und nie wieder zu benutzen. Nutzt ihr noch Skype, oder seid ihr auch schon zu etwas Anderem gewechselt?Jetzt kommentieren!
    Hinweise & Tipps:

    1. Lade dir unsere Windows-10-App herunter, um bei einem neuen Artikel eine Push-Benachrichtung auf deinem Smartphone / Tablet / Desktop-PC zu erhalten
    2. Oder folge uns auf Facebook, Google oder Twitter um keinen News- oder Tipp-Artikel mehr zu verpassen
    3. Besuche unseren Artikel Windows 10 Fragen und Antworten für Neueinsteiger
    4. Sofern du eine bestimmte Frage zu Windows 10 hast, stelle sie einfach direkt hier
    « Mond Neujahr: Square Enix rabattiert ausgewählte Spiele auf SteamWindows 10 Insider-Programm soll mit Kohorten-Komponente neue Wege einschlagen »
    Ähnliche News zum Artikel

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    Windows 10 Kurztipp - Registrierungs-Editor als Verknüpfung auf dem Desktop ablegen
    Ein kleines Programm auf das man nicht direkt per Mausklick zugreifen kann aber vielleicht doch oft braucht ist der Registrierungs-Editor,... mehr
    Windows 10 Menüeintrag Neues Video erstellen aus dem Kontextmenü entfernen - So geht es!
    So mancher will seine Menüs ja gern so übersichtlich wie möglich haben und Einträge die nicht benötigt werden nicht sehen. Einer davon ist... mehr
    Windows 10 Alexa App installieren und verwenden - So einfach geht es und das kann sie bereits!
    So mancher hat darauf gewartet und endlich ist sie da. Für Alexa gibt es nun eine Windows 10 App im Microsoft Store und diese erlaubt die... mehr
    Windows 10 Registry komplett oder teilweise exportieren und wieder importieren - So geht es!
    Hier ein kleiner Tipp für alle Einsteiger die noch völlig neu im Umgang mit dem Registrierungseditor sind, oder als Erinnerung für alle die... mehr
    Windows 10 Einstellungen mit Mixed Reality Eintrag für direkten Zugriff erweitern - So geht es!
    Wer Mixed Reality am Windows 10 Rechner nutzt will vielleicht auch einen direkten Zugriff auf die entsprechenden Settings über die Windows... mehr

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich bislang nicht schließen lässt - UPDATE

    – deine Meinung ?
    Kommentare
    1. Avatar von chakkman
      chakkman -
      Von einer anderen Seite:

      DLL-Hijacking
      Die Lücke selbst nutzt einen Bug aus, der es erlaubt, den Update-Installer über eine DLL-Hijacking-Technik zu manipulieren. Dabei kann eine Anwendung dazu gebracht werden, Schadcode statt der korrekten Bibliothek herunterzuladen. Ein Angreifer kann die manipulierte DLL in einen temporären Ordner, auf den Zugriff besteht, laden und umbenennen. Nach der Installation verwendet Skype den integrierten Updater, um diese Datei auf dem neuesten Stand zu halten.
      Dann würde mich mal interessieren, wie das möglich ist, ohne Skype selbst lokal auf dem Rechner zu manipulieren. Meiner Meinung nach, gar nicht. Also wahrscheinlich wieder mal eine dieser äußerst theoretischen "kritischen" Sicherheitslücken.

      Übrigens würde mich mal interessieren, was ein "Sicherheitsforscher" ist, wo dieser angestellt ist, und von wem er bezahlt wird.