Sicherheitslücke in Skype

Sicherheitslücke in Skype

In Skype klafft im Updater eine schwerwiegende Sicherheitslücke, die sich lokal als auch aus der Ferne ausnutzen lässt. Ein Angreifer kann via DLL-Hijacking dem Updater Schadcode unterschieben und so ein System komplett übernehmen.

Das ist ein peinlicher Bug, denn der Updater entpackt seine Binary offenbar einfach ins System-Temp-Verzeichnis und führt sie dort mit Root-Rechten aus. Bingo! Ähnlich funktioniert das auch unter macOS und Linux, dort wird der dynamische Linker benutzt und über LD_LIBRARY_PATH manipuliert.

Der deutsche Sicherheitsforscher Stefan Kanthak hatte die Lücke bereits im vergangenen September an Microsoft gemeldet. Nun ja, Microsoft wird den Bug so schnell nicht patchen:

Gegenüber dem Entdeckter der Lücke, dem deutschen Sicherheitsforscher Stefan Kanthak, erklärte das Unternehmen, man könne den Fehler zwar reproduzieren, ein Patch werde aber wahrscheinlich erst mit einer „neueren Version des Produkts statt einem Sicherheitsupdate“ veröffentlicht. → ZDNet

Wer Skype einsetzt, sollte sich aus Sicherheitsgründen überlegen, den Messenger zu deinstallieren.
Image: Microsoft, Public Domain

Kommentar verfassen