Microsoft Skype: schwere Sicherheitslücke entdeckt, die sich nicht ohne massiven Umbau im Programm-Code schließen lässt - UPDATE

16.02.2018 15:58 Uhr | maniacu22

Gegenüber dem immer beliebter werdenden und mittlerweile auch auf Desktop-PCs nutzbaren WhatsApp-Konkurrenten hat es Microsofts Skype-Messenger nicht gerade leicht, entsprechende Nutzerzahlen vorweisen zu können. Jetzt kommt es sogar noch schlimmer, da es Sicherheitsforschern gelungen ist, eine schwerwiegende Sicherheitslücke zu entdecken, die es potentiellen Angreifern ermöglicht sich über eine DLL-Hijacking-Technik systemweite Administrator-Rechte zu verschaffen. Andererseits kann diese Lücke aber auch nicht ohne Weiteres geschlossen werden, da einzig ein weitreichender Umbau am Programm-Code und damit einhergehend eine komplett neue Version für eine Beseitigung dieses Fehlers sorgen kann

UPDATE vom 16.02.2018 – 16:58 Uhr

Mittlerweile hat die Skype-Programmmanagerin Ellen Killbourne im MS Anwers Forum eine Stellungsnahme abgegeben, die für Aufklärung sorgen sollte. Sie schreibt ganz offen, dass es durchaus besagte Sicherheitslücke im Updater von Skype gegeben hat, allerdings nur bis zur Version 7.40, deren Installer mittlerweile von der Skype-Homepage entfernt worden sind. Das im Oktober vergangenen Jahres veröffentlichte Installationsprogramm zur Version 8 des Skype-Clients soll von dem Fehler allerdings nicht betroffen sein.

Demzufolge ist es auch nachvollziehbar, dass Microsoft keine Energien mehr in einen Fix der alten Versionen stecken wird, wenn bereits seit Monaten aktuelle Versionen zur Verfügung stehen, die nicht von dieser Sicherheitslücke betroffen sind. Allerdings musste Microsoft in irgendeiner Form reagieren, da bislang auch noch die Version 7.40 bis vor kurzen über die Skype-Homepage zum Download zur Verfügung stand, wenn auch nur optional.

Original-Artikel vom 13.02.2018 – 18:21 Uhr

Dem deutschen Sicherheitsforscher Stefan Kanthak ist es gelungen, im Microsoft Messenger Skype eine schwerwiegende Sicherheitslücke zu entdecken, über welche sich Angreifer systemweite Administratorrechte verschaffen können wodurch sämtliche lokalen Bereiche des Betriebssystems frei zugänglich sind. Die Lücke baut dabei auf der Update-Funktion des Messengers auf, welche mittels der als DLL-Hijacking bekannten Technik anstelle von Aktualisierungen oder Updates Schadcode auf den Rechner installieren kann. Insofern ein Update ansteht, erlaubt die Lücke dem Angreifer, eine manipulierte DLL-Datei einzuschleusen, die laut Aussage von Kanthak nicht nur auf Windows-Systemen, sondern auch unter Linux oder auch OS X für extremen Schaden sorgen kann. Ist der Schadcode erfolgreich installiert worden, können Angreifer nach Belieben Daten stehlen, löschen oder den Besitzer mit einer Ransomware erpressen, von deren Gefahr schon im vergangenen Jahr ausgiebig berichtet worden ist.

Das Schlimme an der Sache ist aber die Aussage seitens Microsoft, dass diese Lücke nicht ohne Weiteres behoben werden kann, womit ein einfaches Software-Update keine Abhilfe bringt. Vielmehr muss Microsoft jetzt sämtliche Ressourcen aufbringen, schnellstmöglich einen neuen Skype-Clienten zu entwickeln, da ein kompletter Umbau am Programmcode notwendig ist. Aktuell hält sich Microsoft bezüglich der Informationen zurück, wann mit einem entsprechend überarbeiteten Skype-Clienten gerechnet werden kann.

via zdnet

Meinung des Autors

Ich war schon Skype-Nutzer, bevor Microsoft diesen Messenger übernommen hat und damals mehr als zufrieden damit. Da sich seitdem aber kaum etwas daran verbessert hat, haben andere Messenger wie WhatsApp die größere Popularität erhalten, was sicherlich nicht nur mir so geht. Skype wird demnach von mir kaum noch genutzt, weshalb es an der Zeit wäre, den Messenger zu deinstallieren und nie wieder zu benutzen. Nutzt ihr noch Skype, oder seid ihr auch schon zu etwas Anderem gewechselt?
Oben