News Messenger: Schwere Sicherheitslücke in Skype entdeckt

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
5.897
Der deutsche Sicherheitsforscher Stefan Kanthak hat eine schwerwiegende Sicherheitslücke in Microsofts Skype-Messenger entdeckt, welche von Seiten des Redmonder Unternehmens nicht ohne weiteres behoben werden kann. Eine Nutzung birgt aktuell ein nicht unerhebliches Risiko.

Zur News: Messenger: Schwere Sicherheitslücke in Skype entdeckt
 
Oha. Na das wird so einige Firmen recht bremsen wenn die deswegen die Finger davon lassen müssen bis das behoben ist. Was für ein Spaß für die IT-Abteilungen.
 
Die Skype Version ist eh ein schlechter Scherz zumindest für PC Nutzer. Kaum Einstellungen, kein Statussymbol in der Taskleiste, 300MB Begrenzung beim Datenaustausch.

Die Idee Skype gleich von Hausaus in Win 10 einzubauen finde ich ja nice. Aber X mal lieber die Desktop/Classic Version. Wobei ich mich schon frage bzw das Gefühl habe das Skype in Sterben liegt. In letzter Zeit sehe ich immer mehr den Namen "Discord" und wie die Leute immer mehr darauf wechslen...
 
Ich gehe davon aus, dass dieses "Problem" aber nur die Desktop Variante betrifft und nicht die UWP Windows 10 App.
 
Danke für die Information. Hab ihn deinstalliert - benötige den Messenger eh nicht mehr. Aber ich finde dann braucht MS den auch nicht mit Win 10 mitzuintallieren, wenn so 'ne Lücke über einen längeren Zeitraum ungefixed drin ist.
 
Betrifft das nur Skype oder auch Skype for Businesses (ehemaliges Lync)?
 
Gut nur das ich so ein unsinn nicht nutze .
Es ist schade für die Leute die es brauchen bzw. keine alternative gefunden haben.

Manchmal frage ich mich ob es wirklich so günstig für ein Konzern ist sein code (scheiss) nicht zu überprüfen,anscheind tuen sie es ja nur ungenügend.
 
Nilson schrieb:
Betrifft das nur Skype oder auch Skype for Businesses (ehemaliges Lync)?

Da das ganze Problem über den Skype Updater (soweit ich das richtig nachvollzogen habe) kommt, vermute ich, das das auch die Business-Variante betrifft. Wobei die IT-Abteilungen oft ja generell sparsam sind mit Updates.
 
Soweit ich das sehe muss aber erst über einen anderen Weg Schadcode auf den eigenen PC kommen damit das genutzt werden kann... es steht dann nur ein Weg zur Rechteausweitung offen der eigentlich nicht vorhanden sein sollte.
 
jetzt erst, keine Ahnung was vor ein paar Jahren beim Laptop meiner Frau loswar. Ein "Werbe" Video, lief plötzlich wie blöd im Skype.. und plötzlich schlug der Virenscanner an. Dank absichtlich reingepfuschter Werbung damit die User auf die App wechseln...
Teilweise geht die CPU nur beim Starten von Skype im Hintergrund durch die Decke, ohne dass überhaupt was passiert...
 
Kenshin_01 schrieb:
Oha. Na das wird so einige Firmen recht bremsen wenn die deswegen die Finger davon lassen müssen bis das behoben ist. Was für ein Spaß für die IT-Abteilungen.

In dem Moment wo der Angreifer die DLL und den passenden Code/Script auf dein System bekommt könnte er auch jeden anderen Schadcode auf dein System zimmern. Da bist du quasi schon gef*ckt.
Ob da dann noch ne Lücke in Skype ausgenutzt wird um an höhere Rechte zu kommen oder nicht spielt dann eigentlich auch nicht mehr die wahnsinnsgroße Rolle.

@CB
Der deutschen Sicherheitsforscher Stefan Kanthak hat eine

und übrigens:
die Behebung jedoch eine „große Code-Revision‟ erfordere und somit erst in der nächsten Version durchgeführt werden kann
Das aktuelle Skype 8 ist bereits die "nächste Version" wenn man von September 2017 ausgeht. ist das in Skype 8 dann schon gefixt?
Das 8er Update für Windows kam im Oktober 2017 als preview (laut version history) und im November als Release (laut Wikipedia).
 
Zuletzt bearbeitet:
Skype gibts inzwischen als Snap für Linux. Gleich zwei Gründe, warum die Sicherheitslücke dabei nicht zutrifft.
 
h00bi schrieb:
In dem Moment wo der Angreifer die DLL und den passenden Code/Script auf dein System bekommt könnte er auch jeden anderen Schadcode auf dein System zimmern. Da bist du quasi schon gef*ckt.
Ob da dann noch ne Lücke in Skype ausgenutzt wird um an höhere Rechte zu kommen oder nicht spielt dann eigentlich auch nicht mehr die wahnsinnsgroße Rolle.

Jein. Einem Cryptotrojaner kann e relativ egal sein, der kann schon mit User-Rechten genug anstellen. Aber z.B. ein Keylogger kann die erhöhten Berechtigungen gut gebrauchen...
 
Nilson schrieb:
Betrifft das nur Skype oder auch Skype for Businesses (ehemaliges Lync)?

Kenshin_01 schrieb:
Da das ganze Problem über den Skype Updater (soweit ich das richtig nachvollzogen habe) kommt, vermute ich, das das auch die Business-Variante betrifft. Wobei die IT-Abteilungen oft ja generell sparsam sind mit Updates.

Skype for Business sollte nicht betroffen sein, da das über die Office-Update-Wege aktualisiert wird. Ich habe auch keinen Skype Updater zu meiner S4B-Installation gefunden.
S4B und Skype sind völlig verschiedene Produkte, die sich nur aus Marketinggründen einen Namen teilen. Der S4B 2016-Client heißt nicht umsonst "lync.exe". ;)
 
Anschließend muss nur die Originaldatei umbenannt werden
So, nun überlegen wir mal kurz.
Die Problematik ist gar keine, wenn der Nutzer lokal keine Adminrechte hat,
denn per Default möchte Windows 10 bei einer Umbenennung oder Löschung
Adminrechte haben im Program Files (x86) - Verzeichnis.

Somit wird bei einigermaßen verantwortungsbewussten Unternehmen kein
Problem mit dem Updater auftreten. :evillol:

Und wer daheim mit einem Adminkonto werkelt, der hat es nicht besser gewusst. :D
 
Habe nichts konkretes gefunden, aber die Store Version (->App) von Skype sollte davon ja nicht betroffen sein, weil der Update Prozess ja vom Store übernommen wird, richtig?
 
Wenn ich das Problem richtig verstehe muss ein Angreifer erstmal eine manipulierte DLL in mein System schleusen um dann mithilfe das Skype updaters die Berechtigungen zu erhöhen.

Ist keine frage ein ernsthaftes Problem aber es muss ja erstmal die DLL auf mein System.
 
Würde mich auch interessieren, ob die App aus dem Win10 Store betroffen ist.
 
M-X schrieb:
Ist keine frage ein ernsthaftes Problem aber es muss ja erstmal die DLL auf mein System.

Die DLL reicht angeblich im temp Verzeichnis des Browsers. Das Problem ist da schon eher das umbenennen der orig. Datei. Das geht ja nicht einfach von extern, dazu muss Code auf den PC geschleust werden.
 
Zurück
Oben