Ein Fehler im Update-Prozess von Skype kann ausgenutzt werden, um Zugriff auf das System zu erlangen. Microsoft hat allerdings erklärt, dass man den Bug vorerst nicht beseitigen will, weil das zu viel Arbeit bedeutet.
Nachdem Intel in letzter Zeit mit der schwerwiegenden Spectre-Sicherheitslücke für Schlagzeilen gesorgt hatte, liegt der Fokus der medialen Berichterstattung momentan auf Microsoft. Das Unternehmen wurde nämlich vom Sicherheitsforscher Stefan Kanthak darüber benachrichtigt, dass im Update-Prozess von Skype ein schwerwiegender Fehler existiert. Der Skype-Updater läuft nämlich als eine eigene .exe-Datei und durch DLL Hijacking könnte so fremder, potenziell gefährlicher Code installiert werden. Dieser Angriffsvektor könne genutzt werden, um so auch Zugriff auf das System zu erlangen und damit anzustellen, was auch immer der Angreifer wünscht, erklärt der Forscher.
Skype-Lücke – Microsoft weiß es seit September
Microsoft wurde im September darüber benachrichtigt, doch bislang kein Update ausgeliefert. Dies wird vorerst auch nicht passieren, denn Microsoft hat in einem Statement erklärt, dass es eine „große Code-Revision benötige, um DDL Injection zu verhindern.“ Stattdessen wird eine neue Version des Skype Desktop-Programms ausgeliefert und die aktuelle Version langsam als „deprecated“ bezeichnet.
Skype-Lücke – UWP-App nicht betroffen
Es ist allerdings anzumerken, dass von diesem Fehler nur die aktuelle Skype Desktop-App betroffen ist und nicht die Skype-App aus dem Windows Store.
via ZDNet
Naja, da man um den „Exploit“ auszuführen eine DLL im Skype Programmverzeichnis oder Windows Systemverzeichnis austauschen müsste, wozu erstmal Rechteanhebung notwendig ist was im Kontext von Standardbenutzer gar nicht geht, ist die tatsächliche Dramatik der Lücke überschaubar. Als Admin mit UAC Elevation freigeschalten kann viel einfacher Schadsoftware gestartet werden als über den mühsamen Umweg Skype-Updater…
Ich lese daraus das e sich hier um einer der Lücken handelt die vorsätzlich für die Dienste des US Regimes offen gehalten werden. In der Firma wo ich arbeite ist Skype streng verboten. Microsoft Lync dagegen erlaubt. Ist ds nicht letztlich das Gleiche?
Nein, lync/skype for business ist n anderes system, soweit ich weiss haben die nur selben oem und ähnliches design.
Ohne Worte. Oder doch: Vorsätzlich fahrlässig.
Als depracted deklarieren..
Wenn es tatsächlich „zu“ aufwändig ist die Lücke zu fixen müssten sie folgendes machen: Ein Update bereitstellen, welches die Desktop App löscht und anbietet, die UWP Version zu nutzen.
Mit dem Hinweis, das die Destop Version wieder installiert werden kann wenn Microsoft sich gnädiger weise dazu entschließt die lücke zu bereinigen.
Das ruft dann aber wiederum die Verbraucherschutzzentrale auf den Plan, welche MS dafür rügt, dass einfach – ohne Zustimmung des Nutzers – Software de- und andere Software installiert wurde.
Und egal wie beschränkt dieser Vorwurf klingen mag, so ist er völlig legit.
Sie sollen einfach eine Nachricht an Nutzer der betroffenen Skype-Version versenden und ihnen dazu raten, eine alternative Version zu nutzen, bspw. die UWP davon. Egal ob es notwendig ist oder nicht, Nutzer lassen sich nicht gern gängeln und per Fernzugriff ungefragt im System rumpfuschen und das ist auch ihr gutes Recht. So eine Nachricht auszurollen reicht vollkommen zu, denn lesen kann jeder, und was er damit macht, ist dann sein Ding.
Jedenfalls unmissverständlich Bescheid geben sollten und können sie.
Da stimme ich dir zu. Das finde ich auch dreist.
Ich kann ja verstehen, dass sie es lieber hätten, dass die Leute die UWP App nutzen. Mache ich ja auch inzwischen. Aber damit das auch mehr Leute tun, sollte die App aufhören scheiße zu sein.
DAS wäre ein Traum! Wie gerne würde ich die App mit anderen zusammen nutzen. Aber so kann ich da niemanden von überzeugen…?
? Woher weiß die App, dass sie scheiße ist? ?
Das muss ich mir für’s Büro merken ?
„ähm, ne, lass mal, das wäre jetzt zu viel Arbeit!“ ??? ?
„DO IT, like Microsoft. Soon … or never!“
Was du heute kannst besorgen, das verschiebe stets auf morgen. ?
Oh man, ich hoffe echt, dass da mal was passiert und endlich die Microsoft Aktien 50% verlieren. Nur weil so ein Clown da einen guten Clowd-Kurs (haha) fährt, heißt es nicht, dass der Rest des Unternehmens gut läuft…
Ich weiß das ist traurig und überhaupt nicht zum lachen, aber… ???? ? ? Das ist echt genial ??. Vermutlich waren ihnen die anderen Sachen auch „zu viel Arbeit“ weshalb sie sie eingestellt haben… ?
Mal gucken wann Windows eingestellt wird ?
Eines der besten phone betriebssysteme zu haben wäre schliesslich auch ne menge arbeit. Jetzt ergibt es sinn ?
„Stattdessen wird eine neue Version des Skype Desktop-Programms ausgeliefert“
Also was nun?
Die Lücke wird nicht behoben und ist im Desktop-Programm fortwährend vorhanden, oder das Problem wird/wurde in einer neuen Version angegangen?
Gibt es diese Version mittlerweile oder wird die erst erstellt?
Skype für Desktop sollten sie einfach einstampfen, wer noch Win 7 nutzt sitzt dann eben am Trockenen. 😉
mit dem Update auf die neue Version verschwindet das Problem nicht. zudem bleibt die alte Version weiter unterstützt.
Komischerweise liest sich das bei Microsoft aber ganz anders:
The installer for the current version of Skype for Windows desktop (v8) does NOT have this issue, and it has been available since October, 2017.
https://answers.microsoft.com/en-us/skype/forum/skype_newsms/update-on-installer-for-skype-for-windows-desktop/242f1415-1399-42e1-a6a2-cd535c8b7ff8
Die Zeiten, in denen Skype das einzige Programm seiner Art war, sind ohnehin gezählt. Dann können sie sich von dem Programm auch komplett verabschieden…
Leute entlassen und dann rumheulen das man zu viel Arbeit hat…
Da wird nicht rumgeheult, das wird zum Fakt erklärt.
Ist halt modernes Management by Aktienkurs.??.
Ha! Stimmt ???
Ha! Stimmt ???