• Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässt - UPDATE

    Gegenüber dem immer beliebter werdenden und mittlerweile auch auf Desktop-PCs nutzbaren WhatsApp-Konkurrenten hat es Microsofts Skype-Messenger nicht gerade leicht, entsprechende Nutzerzahlen vorweisen zu können. Jetzt kommt es sogar noch schlimmer, da es Sicherheitsforschern gelungen ist, eine schwerwiegende Sicherheitslücke zu entdecken, die es potentiellen Angreifern ermöglicht sich über eine DLL-Hijacking-Technik systemweite Administrator-Rechte zu verschaffen. Andererseits kann diese Lücke aber auch nicht ohne Weiteres geschlossen werden, da einzig ein weitreichender Umbau am Programm-Code und damit einhergehend eine komplett neue Version für eine Beseitigung dieses Fehlers sorgen kann



    https://www.winboard.org/artikel-attachments/91800-nachrichten-skype.jpg


    UPDATE vom 16.02.2018 - 16:58 Uhr


    Mittlerweile hat die Skype-Programmmanagerin Ellen Killbourne im MS Anwers Forum eine Stellungsnahme abgegeben, die für Aufklärung sorgen sollte. Sie schreibt ganz offen, dass es durchaus besagte Sicherheitslücke im Updater von Skype gegeben hat, allerdings nur bis zur Version 7.40, deren Installer mittlerweile von der Skype-Homepage entfernt worden sind. Das im Oktober vergangenen Jahres veröffentlichte Installationsprogramm zur Version 8 des Skype-Clients soll von dem Fehler allerdings nicht betroffen sein.





    Demzufolge ist es auch nachvollziehbar, dass Microsoft keine Energien mehr in einen Fix der alten Versionen stecken wird, wenn bereits seit Monaten aktuelle Versionen zur Verfügung stehen, die nicht von dieser Sicherheitslücke betroffen sind. Allerdings musste Microsoft in irgendeiner Form reagieren, da bislang auch noch die Version 7.40 bis vor kurzen über die Skype-Homepage zum Download zur Verfügung stand, wenn auch nur optional.


    Original-Artikel vom 13.02.2018 - 18:21 Uhr


    Dem deutschen Sicherheitsforscher Stefan Kanthak ist es gelungen, im Microsoft Messenger Skype eine schwerwiegende Sicherheitslücke zu entdecken, über welche sich Angreifer systemweite Administratorrechte verschaffen können wodurch sämtliche lokalen Bereiche des Betriebssystems frei zugänglich sind. Die Lücke baut dabei auf der Update-Funktion des Messengers auf, welche mittels der als DLL-Hijacking bekannten Technik anstelle von Aktualisierungen oder Updates Schadcode auf den Rechner installieren kann. Insofern ein Update ansteht, erlaubt die Lücke dem Angreifer, eine manipulierte DLL-Datei einzuschleusen, die laut Aussage von Kanthak nicht nur auf Windows-Systemen, sondern auch unter Linux oder auch OS X für extremen Schaden sorgen kann. Ist der Schadcode erfolgreich installiert worden, können Angreifer nach Belieben Daten stehlen, löschen oder den Besitzer mit einer Ransomware erpressen, von deren Gefahr schon im vergangenen Jahr ausgiebig berichtet worden ist.


    Das Schlimme an der Sache ist aber die Aussage seitens Microsoft, dass diese Lücke nicht ohne Weiteres behoben werden kann, womit ein einfaches Software-Update keine Abhilfe bringt. Vielmehr muss Microsoft jetzt sämtliche Ressourcen aufbringen, schnellstmöglich einen neuen Skype-Clienten zu entwickeln, da ein kompletter Umbau am Programmcode notwendig ist. Aktuell hält sich Microsoft bezüglich der Informationen zurück, wann mit einem entsprechend überarbeiteten Skype-Clienten gerechnet werden kann.



    via zdnet
    Gefällt dir der Artikel

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässt - UPDATE

    ?
    Meinung des Autors
    Ich war schon Skype-Nutzer, bevor Microsoft diesen Messenger übernommen hat und damals mehr als zufrieden damit. Da sich seitdem aber kaum etwas daran verbessert hat, haben andere Messenger wie WhatsApp die größere Popularität erhalten, was sicherlich nicht nur mir so geht. Skype wird demnach von mir kaum noch genutzt, weshalb es an der Zeit wäre, den Messenger zu deinstallieren und nie wieder zu benutzen. Nutzt ihr noch Skype, oder seid ihr auch schon zu etwas Anderem gewechselt?Jetzt kommentieren!
    « Mond Neujahr: Publisher Square Enix feiert mit ausgewählten Spielen auf Steam - hohe Rabatte inklusiveDolby Atmos: Kinos in Deutschland, Österreich und der Schweiz - UPDATE »
    Ähnliche News zum Artikel

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässt - UPDATE

    Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässt - UPDATE

    – deine Meinung ?
    Kommentare
    1. Avatar von Alfiator
      Alfiator -
      Hier läuft schon ewig Skype.Warum?Weil´s portable ist...
    1. Avatar von WesleyCrusher
      WesleyCrusher -
      Ich habe Skype installiert, ist aber lange ungenutzt, eine "Karteileiche" auf dem System. Es gab damit auch Probleme, Riesen Krach, weil ich hier die Problematik eines Eindringversuchs mit einen neuen Usernamen hatte. Danach verlief das im Sande, ich zog mich völlig aus dem (seiner Zeit beabsichtigten Multiplay mit Skypeunterstützung) zurück. Danach erfolgten noch einige Systemangriffe auf e-mailkonten, versuchten Einkäufen die ich nie veranlaßt habe ect. ... es ist seit ca 1/4 Jahr ruhig oder ich merks schlicht nicht, ob ich Läuse im Pelz hab. Von vielen Viren weiß man ja gar nicht, das sie da sind, das sind die wirklich gefährlichen Hacker. Bei mir ist ja nix zu holen aber ich bin in meiner Art "n bunter Hund" den man ganz unbedingt verdreschen muß (so fühl ich mich), das führt dann im Web zu so was. Mit anderen spielen im Web, inzwischen nur noch, wen ich persönlich in Fleisch und Blut kenne. Da ist an Vertrauensfähigkeit viel kaputt gegangen, solcher Ereignisse. Seehr gelitten hat darunter mein Steamaccount, den trau ich mich seit Monaten schon gar nicht mehr auf zu machen, beobachte ihn aber, ob der auffällt, sich wer drauf einloggt. Das zieht einem natürlich in der ganzen Gemütsverfassung runter ... "wenn man selbst ein böser Mensch wäre" dieser Konflikt entsteht dabei, das macht einen kaputt!

      Mit der Skype-Sache da, gibt es denn, wenn Microsoft schon Kenntnis darüber hat, wenigstens etwas, womit man sein System darüber absuchen kann oder hat Microsoft das an die Antivirenhersteller für die Erkennung der Virensignaturen gemeldet? Ich vermute mal, mit blosem deinstallieren von Skype ists nicht getan, wenn man schon den "Horcher" auf dem System hat.

      Wie geht man denn da vor? Die Schutzsoftware (commerziell) "sagt" System ist sauber aber die kann ja auch nur erkennen, was sie als Virus kennt.
    1. Avatar von karmu
      karmu -
      Seehr gelitten hat darunter mein Steamaccount, den trau ich mich seit Monaten schon gar nicht mehr auf zu machen, beobachte ihn aber, ob der auffällt, sich wer drauf einloggt.
      Ähm, wie wäre es mit:
      - Passwort ändern?
      - Zwei-Faktor-Authentifizierung (Steam-Guard)?
      (Funktioniert zuverlässig )
    1. Avatar von Castle
      Castle -
      Zitat Zitat von WesleyCrusher Beitrag anzeigen
      Ich habe Skype installiert, ist aber lange ungenutzt, eine "Karteileiche" auf dem System. Es gab damit auch Probleme, Riesen Krach, weil ich hier die Problematik eines Eindringversuchs mit einen neuen Usernamen hatte. Danach verlief das im Sande, ich zog mich völlig aus dem (seiner Zeit beabsichtigten Multiplay mit Skypeunterstützung) zurück. Danach erfolgten noch einige Systemangriffe auf e-mailkonten, versuchten Einkäufen die ich nie veranlaßt habe ect. ... es ist seit ca 1/4 Jahr ruhig oder ich merks schlicht nicht, ob ich Läuse im Pelz hab. Von vielen Viren weiß man ja gar nicht, das sie da sind, das sind die wirklich gefährlichen Hacker. Bei mir ist ja nix zu holen aber ich bin in meiner Art "n bunter Hund" den man ganz unbedingt verdreschen muß (so fühl ich mich), das führt dann im Web zu so was. Mit anderen spielen im Web, inzwischen nur noch, wen ich persönlich in Fleisch und Blut kenne. Da ist an Vertrauensfähigkeit viel kaputt gegangen, solcher Ereignisse. Seehr gelitten hat darunter mein Steamaccount, den trau ich mich seit Monaten schon gar nicht mehr auf zu machen, beobachte ihn aber, ob der auffällt, sich wer drauf einloggt. Das zieht einem natürlich in der ganzen Gemütsverfassung runter ... "wenn man selbst ein böser Mensch wäre" dieser Konflikt entsteht dabei, das macht einen kaputt!

      Mit der Skype-Sache da, gibt es denn, wenn Microsoft schon Kenntnis darüber hat, wenigstens etwas, womit man sein System darüber absuchen kann oder hat Microsoft das an die Antivirenhersteller für die Erkennung der Virensignaturen gemeldet? Ich vermute mal, mit blosem deinstallieren von Skype ists nicht getan, wenn man schon den "Horcher" auf dem System hat.

      Wie geht man denn da vor? Die Schutzsoftware (commerziell) "sagt" System ist sauber aber die kann ja auch nur erkennen, was sie als Virus kennt.
      Linux oder BSD. Ist beides Kostenfrei . Machste Dual-Boot, Surfen unter Linux oder BSD, das andere unter Windows (wenn man es braucht).
    1. Avatar von WesleyCrusher
      WesleyCrusher -
      @karmu
      Bei Steam selbst ist es gar nicht mal so sehr einer Sicherheitsfrage geschuldet, sondern viel mehr des Usernamens. Den kann man zwar ändern aber in der Historie wieder finden. Wenn der Ruf kaputt ist, gar nicht mal was "angestellt" sondern, auf Steam geistern "Psychos rum, die haben scheinbar einen heiden Spaß daran, jemanden psychisch sadistisch zu zerbrechen und ich bin für sowas "emfänglich", ich dreh da ab. Wenn man viel schreibt, wissen solche Leute, wie man "tickt" und genau da setzen die dann an. Da kriegt man keinen Fuß mehr auf die Straße und hat keinem was getan. Solche Leute beobachten die ID ja auch a la "aha, er rührt sich, ist wieder aktiv", deswegen faß ich meinen Acc nicht an und spiele meine Spiele darin nicht. Das ist mir zerstört worden, auch die Freude daran, mit diesen "Errungenschaften" oder sein Profil dar zu stellen, herzuzeigen. Im Gegenteil, ich hab mich immer mehr einmauern müssen bis hin zu "privatem Profil", nur Zank und Streit mit den Leuten dort, absolut schrecklich! In Pucto Sicherheit, insbesondere Acc-Diebstahl sehe ich eher geringe Risiken, denn ich habe eine "Schwelle" eingebaut, über die dürft man nicht ohne weiteres kommen: die Zahlungen, Referenzen ect. sind zum Steamacc "autark", will heißen, selbt wenn jemand den Acc klaut und seine Referenzmail kennt, er kommt nicht an die Geldquelle über die ich beweisen kann, rechtmäßiger Besitzer zu sein. Das habe ich vor etlichen Jahren voll beabsichtigt so angelegt, der jenige hätte "Schwimmfest" wenn er bei mir einsteigt. Das Konzept ist das einer zerbrochenen Münze, es gibt nur ein Gegenstück das paßt. Von diesen Smartphonegeschichten halte ich nicht, ich geb nicht für ein Telefon 600 Euro aus! Ein Telefon ist rein zum telefonieren, ein Klapphandy ist zu 25 Euro zu haben, das reicht völlig. Ein Handy muß kein PC sein, der steht zu Hause. Das ist unnötig und was ein Smartphone macht, sehe ich ja täglich im Bundestag im Fernsehn, wie die Leute drauf rum knipseln, statt Politik zu machen. Auch hat Steam/ Valve nicht die Telefonnummer anzugehen, das ist alles angebliche Sicherheit, die ohnehin schon ausgehebelt wird aber in Wahrheit nur Ziel hat, den Menschen gläsern zu machen. Und ist man erst gläsern, dann traut man sich nicht mehr in seinen Acc, so wie ich grad. Ich fühl mich regelrecht beobachtet, wie in Comics die Figur im finsteren Wald aus dem umzählige gelbe böse Augen raus gucken. Gerade zu unbehaglich. Deswegen spiele ich seit Monaten meine ganzen Spiele auf Steam nicht, nichtmal alleine! Resident Evil Revelations 2 neu "damals" noch gekauft, nie gespielt, trau mich nicht, denn muß ich mich einloggen, will ich nicht. Inventar voll mit Karten, wollt damals leveln, ist mir vergangen. Für wen denn, zu was? Das alles ärgert mich eher als das ich da noch einen Funken Freude dran hab. Unzählige Spielstände erspielt, alle auf "Auslöse" , Errungenschaften nicht ausgelöst, sollte für nen besonderen Tag sein, man ist ja irgendwo auch stolz ... stolz auf was, äch! Das ist Trophähen sammeln im dunklen Keller, in dem keiner rein geht ... ja den "besonderen Tag" hab ich jeden Tag, das reicht mir schon. Es macht mich griesgrimmig und das will ich nicht sein. Dazu ist das Leben zu schade und zu wertvoll.

      @Castle
      Da muß ich lernen, von grund auf. Früher oder später brauch ich das, Kenntnisse mit Linux ect. wenn Win7-Support zu Ende geht, weil schon aus XP-Zeiten, die ganze Software, die schmeiß ich doch nicht weg! Dann muß ich "PC" überdenken und eben für Web sowas wie Linux nehmen und der Spiele die alten OS-Geschichten, ggf. mit dann zwei PCs, geschaltet als Netzwerk (zwei PCs, eine Tastatur/ Mouse schwebt mir da vor) aber nicht virtualisiert, sondern echter Hardware einander getrennt mit einer art Remotekontrolle beider Systeme administrativ. Getrennt daher, dann kann ich eher sicher sein, das der andere PC dem Web ausgesperrt ist, sitzen beide OS auf einem PC bin ich mir da nicht sicher, weil ist wer auf dem einen, ist er auch auf dem anderen. Das ist aber derzeit für mich noch "Kinderschuhe", ich hab ja noch Zeit bis 2021. Linux ist derzeit für mich, wie für andere "Redstar 2.0", nach Art "da steht was aber was es bedeutet weiß ich nicht, klick da mal lieber nich drauf, vielleicht beißt das" ^^ Linux zu lernen wird für mich in den nächsten Jahren eine sehr große Herausforderung sein. Ich schau schon in die Kurse, ob die Volkshochschule was anbietet, ich hab "Null" Ahnung von Linux.

      @all
      Ich bitte um Entschuldigung, wenn das ganze jetzt etwas "off topic" geworden ist.
    1. Avatar von Castle
      Castle -
      Zitat Zitat von WesleyCrusher Beitrag anzeigen
      @Castle
      Da muß ich lernen, von grund auf. Früher oder später brauch ich das, Kenntnisse mit Linux ect. wenn Win7-Support zu Ende geht, weil schon aus XP-Zeiten, die ganze Software, die schmeiß ich doch nicht weg! Dann muß ich "PC" überdenken und eben für Web sowas wie Linux nehmen und der Spiele die alten OS-Geschichten, ggf. mit dann zwei PCs, geschaltet als Netzwerk (zwei PCs, eine Tastatur/ Mouse schwebt mir da vor) aber nicht virtualisiert, sondern echter Hardware einander getrennt mit einer art Remotekontrolle beider Systeme administrativ. Getrennt daher, dann kann ich eher sicher sein, das der andere PC dem Web ausgesperrt ist, sitzen beide OS auf einem PC bin ich mir da nicht sicher, weil ist wer auf dem einen, ist er auch auf dem anderen. Das ist aber derzeit für mich noch "Kinderschuhe", ich hab ja noch Zeit bis 2021. Linux ist derzeit für mich, wie für andere "Redstar 2.0", nach Art "da steht was aber was es bedeutet weiß ich nicht, klick da mal lieber nich drauf, vielleicht beißt das" ^^ Linux zu lernen wird für mich in den nächsten Jahren eine sehr große Herausforderung sein. Ich schau schon in die Kurse, ob die Volkshochschule was anbietet, ich hab "Null" Ahnung von Linux.
      Ich kann dir dabei gerne helfen. Meld dich per PM wenn du darauf lust hast. Man kann es sehr einfach in Virtualbox (kostenlos) testen ohne es gleich komplett installieren zu müssen.