Schwere Lücke im Skype-Updater bleibt offen, Neuentwicklung nötig
Sicherheitslücken sind natürlich nie schön, in der Regel werden sie aber schnell von den Herstellern geschlossen. Dafür reicht meistens ein Patch, dieser wird auch normalerweise rasch geliefert. Das alles trifft im Fall einer aktuellen Skype-Schwachstelle nicht zu, denn Microsoft ist gezwungen, eine Lücke offenzulassen.
Der Sicherheitsforscher Stefan Kanthak hat bereits im vergangenen September eine schwere Lücke in Skype für Windows bzw. dessen Update-Installer gefunden und diese auch an Microsoft gemeldet. Doch diese Schwachstelle ist und bleibt vorerst ungepatcht. Denn laut Microsoft ist ein schnelles Beheben dieser Lücke nicht möglich, Grund dafür ist der Umstand, dass eine Behebung per Patch nicht ohne Weiteres machbar ist, so die Redmonder.
Wie ZDNet berichtet, will Microsoft die Lücke schließen, aber nicht im Rahmen eines Patches, sondern über eine neue Version des Skype-Clients für Windows auf dem Desktop. Microsoft teilte mit, dass die eigenen Entwickler die von Kanthak gefundene Methode nachvollziehen konnten, man aber für einen Fix eine "große Code-Revision" durchführen müsste. Deshalb werde man das über eine vollkommen neue Version der Software machen und eben nicht per Patch. Das Unternehmen versprach aber, dass man "alle Ressourcen" in die Programmierung des neuen Clients stecken werde.
Laut Kanthak ist das zwar ein schwerfälliger Hack, er kann aber verhältnismäßig einfach zu einer "Waffe" gemacht werden. Auf diese Weise kann ein Angreifer entsprechende Rechte und somit Zugriff auf das System bekommen.
Download Skype-Client von Microsoft
Wie ZDNet berichtet, will Microsoft die Lücke schließen, aber nicht im Rahmen eines Patches, sondern über eine neue Version des Skype-Clients für Windows auf dem Desktop. Microsoft teilte mit, dass die eigenen Entwickler die von Kanthak gefundene Methode nachvollziehen konnten, man aber für einen Fix eine "große Code-Revision" durchführen müsste. Deshalb werde man das über eine vollkommen neue Version der Software machen und eben nicht per Patch. Das Unternehmen versprach aber, dass man "alle Ressourcen" in die Programmierung des neuen Clients stecken werde.
DLL-Hijacking
Die Lücke selbst nutzt einen Bug aus, der es erlaubt, den Update-Installer über eine DLL-Hijacking-Technik zu manipulieren. Dabei kann eine Anwendung dazu gebracht werden, Schadcode statt der korrekten Bibliothek herunterzuladen. Ein Angreifer kann die manipulierte DLL in einen temporären Ordner, auf den Zugriff besteht, laden und umbenennen. Nach der Installation verwendet Skype den integrierten Updater, um diese Datei auf dem neuesten Stand zu halten.Laut Kanthak ist das zwar ein schwerfälliger Hack, er kann aber verhältnismäßig einfach zu einer "Waffe" gemacht werden. Auf diese Weise kann ein Angreifer entsprechende Rechte und somit Zugriff auf das System bekommen.
Download Skype-Client von Microsoft
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - Gestern 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - Gestern 12:33 Uhr -
Pc startet im Multiboot Manager nach unstellung in MSconfig
js1 - Gestern 11:19 Uhr -
"Ohne Privatsphäre keine Demokratie" – Der Neocypherpunk Summi
d-hubs - Vorgestern 12:52 Uhr -
Datenträgerverwaltung
micro300 - 11.06. 16:50 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen