Zu aufwendig: Microsoft will schwere Skype-Lücke nicht beheben

    14. Februar 2018, 12:16
    56 Postings

    Leck erlaubt Übernahme von Windows-System – Kein Patch geplant, Fehler soll erst in neuer Version entfernt werden

    Ein neu entdecktes Sicherheitsleck plagt Microsofts Messenger-Software Skype. Die vom Security-Forscher Stefan Kanthak entdeckte Schwachstelle kann es einem Angreifer erlauben, das System des Nutzers vollständig zu kapern, schreibt ZDNet.

    DLL-Hijacking

    Das Problem verbirgt sich im Aktualisierungsprozess von Skype. Einmal installiert, hält sich das Programm mit seinem eigenen Updater auf dem neuesten Stand. Dieser wickelt Aktualisierungen über ein eigenes Programm ab, das wiederum anfällig für DLL-Hijacking ist. Denn der Updater nutzt eine "präferentielle Suche", um eine benötigte DLL-Bibliothek zu finden und lädt die erste Datei des Namens, die er findet.

    Schleust nun ein Angreifer aus der Ferne eine DLL-Datei gleichen Namens in einen temporären Ordner ein – was laut Kanthak über ein Skript oder Malware recht einfach ginge – würde das Aktualisierungsprogramm diese anstelle der richtigen Datei ausführen. Über entsprechenden Schadcode könnte ein Angreifer sich somit Zugriff auf das Nutzerkonto verschaffen und dabei auch dessen Rechte auf die volle Stufe ("System") erweitern. Ihm stünden damit alle Optionen offen, um etwa sensible Daten abzugreifen oder weitere Malware zu installieren.

    Fehler soll erst in neuer Version behoben werden

    Kanthak hat Microsoft nach eigenen Angaben bereits im September über den Patch informiert. Das Unternehmen habe ihm jedoch mitgeteilt, dass eine Behebung via Patch zu aufwendig sei, da man große Teile des Updater-Codes umschreiben müsse.

    Man stecke daher "alle Ressourcen" in die Entwicklung einer komplett neuen Version von Skype, bei der dann diese Schwäche nicht mehr vorhanden sein solle. Auf eine Anfrage von ZDNet wollte Microsoft keine Stellungnahme zu der Angelegenheit abgeben. (red, 14.2.2018)

    • Erst mit einer neuen Skype-Version soll das Problem behoben werden.
      foto: derstandard.at/pichler

      Erst mit einer neuen Skype-Version soll das Problem behoben werden.

    Share if you care.