News Messenger: Schwere Sicherheitslücke in Skype entdeckt

mischaef

Kassettenkind
Teammitglied
Dabei seit
Aug. 2012
Beiträge
1.629
#1
Der deutsche Sicherheitsforscher Stefan Kanthak hat eine schwerwiegende Sicherheitslücke in Microsofts Skype-Messenger entdeckt, welche von Seiten des Redmonder Unternehmens nicht ohne weiteres behoben werden kann. Eine Nutzung birgt aktuell ein nicht unerhebliches Risiko.

Zur News: Messenger: Schwere Sicherheitslücke in Skype entdeckt
 
Dabei seit
Okt. 2006
Beiträge
869
#2
Oha. Na das wird so einige Firmen recht bremsen wenn die deswegen die Finger davon lassen müssen bis das behoben ist. Was für ein Spaß für die IT-Abteilungen.
 

DerSnake

Lt. Junior Grade
Dabei seit
Mai 2015
Beiträge
352
#3
Die Skype Version ist eh ein schlechter Scherz zumindest für PC Nutzer. Kaum Einstellungen, kein Statussymbol in der Taskleiste, 300MB Begrenzung beim Datenaustausch.

Die Idee Skype gleich von Hausaus in Win 10 einzubauen finde ich ja nice. Aber X mal lieber die Desktop/Classic Version. Wobei ich mich schon frage bzw das Gefühl habe das Skype in Sterben liegt. In letzter Zeit sehe ich immer mehr den Namen "Discord" und wie die Leute immer mehr darauf wechslen...
 
Dabei seit
Jan. 2008
Beiträge
2.157
#4
Ich gehe davon aus, dass dieses "Problem" aber nur die Desktop Variante betrifft und nicht die UWP Windows 10 App.
 

Beitrag

Rear Admiral
Dabei seit
Nov. 2011
Beiträge
5.228
#5
Danke für die Information. Hab ihn deinstalliert - benötige den Messenger eh nicht mehr. Aber ich finde dann braucht MS den auch nicht mit Win 10 mitzuintallieren, wenn so 'ne Lücke über einen längeren Zeitraum ungefixed drin ist.
 

Nilson

Fleet Admiral
Dabei seit
Dez. 2008
Beiträge
14.617
#6
Betrifft das nur Skype oder auch Skype for Businesses (ehemaliges Lync)?
 

Tada100

Lt. Commander
Dabei seit
Feb. 2014
Beiträge
1.069
#7
Gut nur das ich so ein unsinn nicht nutze .
Es ist schade für die Leute die es brauchen bzw. keine alternative gefunden haben.

Manchmal frage ich mich ob es wirklich so günstig für ein Konzern ist sein code (scheiss) nicht zu überprüfen,anscheind tuen sie es ja nur ungenügend.
 

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
34.981
#9
Soweit ich das sehe muss aber erst über einen anderen Weg Schadcode auf den eigenen PC kommen damit das genutzt werden kann... es steht dann nur ein Weg zur Rechteausweitung offen der eigentlich nicht vorhanden sein sollte.
 

Pitt_G.

Rear Admiral
Dabei seit
Aug. 2007
Beiträge
5.456
#10
jetzt erst, keine Ahnung was vor ein paar Jahren beim Laptop meiner Frau loswar. Ein "Werbe" Video, lief plötzlich wie blöd im Skype.. und plötzlich schlug der Virenscanner an. Dank absichtlich reingepfuschter Werbung damit die User auf die App wechseln...
Teilweise geht die CPU nur beim Starten von Skype im Hintergrund durch die Decke, ohne dass überhaupt was passiert...
 
Dabei seit
Aug. 2006
Beiträge
9.580
#11
Oha. Na das wird so einige Firmen recht bremsen wenn die deswegen die Finger davon lassen müssen bis das behoben ist. Was für ein Spaß für die IT-Abteilungen.
In dem Moment wo der Angreifer die DLL und den passenden Code/Script auf dein System bekommt könnte er auch jeden anderen Schadcode auf dein System zimmern. Da bist du quasi schon gef*ckt.
Ob da dann noch ne Lücke in Skype ausgenutzt wird um an höhere Rechte zu kommen oder nicht spielt dann eigentlich auch nicht mehr die wahnsinnsgroße Rolle.

@CB
Der deutschen Sicherheitsforscher Stefan Kanthak hat eine
und übrigens:
die Behebung jedoch eine „große Code-Revision‟ erfordere und somit erst in der nächsten Version durchgeführt werden kann
Das aktuelle Skype 8 ist bereits die "nächste Version" wenn man von September 2017 ausgeht. ist das in Skype 8 dann schon gefixt?
Das 8er Update für Windows kam im Oktober 2017 als preview (laut version history) und im November als Release (laut Wikipedia).
 
Zuletzt bearbeitet:

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
34.981
#14
In dem Moment wo der Angreifer die DLL und den passenden Code/Script auf dein System bekommt könnte er auch jeden anderen Schadcode auf dein System zimmern. Da bist du quasi schon gef*ckt.
Ob da dann noch ne Lücke in Skype ausgenutzt wird um an höhere Rechte zu kommen oder nicht spielt dann eigentlich auch nicht mehr die wahnsinnsgroße Rolle.
Jein. Einem Cryptotrojaner kann e relativ egal sein, der kann schon mit User-Rechten genug anstellen. Aber z.B. ein Keylogger kann die erhöhten Berechtigungen gut gebrauchen...
 
Dabei seit
Juni 2005
Beiträge
1.945
#15
Betrifft das nur Skype oder auch Skype for Businesses (ehemaliges Lync)?
Da das ganze Problem über den Skype Updater (soweit ich das richtig nachvollzogen habe) kommt, vermute ich, das das auch die Business-Variante betrifft. Wobei die IT-Abteilungen oft ja generell sparsam sind mit Updates.
Skype for Business sollte nicht betroffen sein, da das über die Office-Update-Wege aktualisiert wird. Ich habe auch keinen Skype Updater zu meiner S4B-Installation gefunden.
S4B und Skype sind völlig verschiedene Produkte, die sich nur aus Marketinggründen einen Namen teilen. Der S4B 2016-Client heißt nicht umsonst "lync.exe". ;)
 
Dabei seit
Juni 2014
Beiträge
983
#16
Anschließend muss nur die Originaldatei umbenannt werden
So, nun überlegen wir mal kurz.
Die Problematik ist gar keine, wenn der Nutzer lokal keine Adminrechte hat,
denn per Default möchte Windows 10 bei einer Umbenennung oder Löschung
Adminrechte haben im Program Files (x86) - Verzeichnis.

Somit wird bei einigermaßen verantwortungsbewussten Unternehmen kein
Problem mit dem Updater auftreten. :evillol:

Und wer daheim mit einem Adminkonto werkelt, der hat es nicht besser gewusst. :D
 
Dabei seit
Dez. 2010
Beiträge
179
#17
Habe nichts konkretes gefunden, aber die Store Version (->App) von Skype sollte davon ja nicht betroffen sein, weil der Update Prozess ja vom Store übernommen wird, richtig?
 

M-X

Commodore
Dabei seit
März 2007
Beiträge
4.309
#18
Wenn ich das Problem richtig verstehe muss ein Angreifer erstmal eine manipulierte DLL in mein System schleusen um dann mithilfe das Skype updaters die Berechtigungen zu erhöhen.

Ist keine frage ein ernsthaftes Problem aber es muss ja erstmal die DLL auf mein System.
 
Dabei seit
Mai 2008
Beiträge
2.696
#19
Würde mich auch interessieren, ob die App aus dem Win10 Store betroffen ist.
 
Top