Zu aufwendig: Microsoft will schwere Skype-Lücke nicht beheben

Schwere Sicherheitslücke bei Skype: Kein Patch in Sicht

Schon im September letzten Jahres haben sich die Entdecker der Sicherheitslücke an Microsoft gewendet, um auf das Problem aufmerksam zu machen - bekanntlich ist Skype eine Microsoft-Tochter.

Der Bug führt zu einer nicht autorisierten Ausweitung von Nutzerrechten. Nach der Anmeldung via Skype- oder Microsoft-Konto können Sie das Programm direkt in Firefox, Chrome, Safari oder Internet Explorer/Edge nutzen, ohne dass Sie eine Software installieren müssen. Jetzt kommt es sogar noch schlimmer, da es Sicherheitsforschern gelungen ist, eine schwerwiegende Sicherheitslücke zu entdecken, die es potentiellen Angreifern ermöglicht sich über eine DLL-Hijacking-Technik systemweite Administrator-Rechte zu verschaffen. Das Unternehmen versprach aber, dass man "alle Ressourcen" in die Programmierung des neuen Clients stecken werde. Dabei wird einer Anwendung eine speziell präparierte Datei mit Schadcode untergeschoben.

Wie auch in den Sicherheitsupdates die wir monatlich bekommen, kann auch hier ein Angreifer eine bösartige DLL in einen vom Benutzer zugänglichen temporären Ordner herunterladen und in eine bestehende DLL umbenennen.

Laut Kanthak ließe sich das Skype-Sicherheitsproblem sehr einfach ausnutzen. "Windows bietet verschiedene Wege dafür an", sagte er. Zudem sei DLL-Hijacking nicht auf Windows beschränkt. Mac OS und Linux sind dafür ebenso anfällig.

Eigentlich wird Skype nur mit den Rechten des angemeldeten Anwenders geöffnet und stellt kein größeres Ziel für Angriffe auf das System dar. Durch die Kombination von Rechteausweitung und DLL-Hijacking lässt sich diese Einschränkung jedoch umgehen.

Dieses Whitepaper zeigt die fünf größten Herausforderungen im Zuge der DSGVO auf und erklärt wie Enterprise-Content-Management-Lösungen (ECM) bei der Umsetzung der Verordnung unterstützen können.

Related:

Comments

Latest news

Guido Maria Kretschmer heiratet Partner Frank Mutters auf Sylt
Designer und TV-Moderator Guido Maria Kretschmer will noch in diesem Jahr seinem langjährigen Lebensgefährten Frank Mutters das Ja-Wort geben.

"Assassin's Creed Origins": Ubisoft bringt DLCs statt neues Game
Für Ubisoft ist es wichtig, dass die Spieler aus freiem Willen auf Mikrotransaktionen zurückgreifen und nicht weil sie es müssen. Dennoch will man sich künftig im Spielebereich etwas anders aufstellen und weniger neue Titel veröffentlichen .

Dennis Diekmeier wird nicht beim Hamburger SV verlängern
Nach der Saison wird der Rechtsverteidiger den Bundesliga-Dino verlassen. Denn Dennis Diekmeier wird seinen Kontrakt nicht verlängern.

Norbert Häring will Recht auf Barzahlung erklagen
Deshalb kämpft der 55-jährige seit 2015 dafür, Rundfunkbeiträge (derzeit 17,50 Euro im Monat) bar zu bezahlen. Darauf hätten Bürger keinen Anspruch, hat der Verwaltungsgerichtshof (VGH) in Kassel entschieden.

Zwei Tote bei Flixbus-Unfall mit Lkw
Die Person war mit ihrem Pkw zwischen Niedernhausen und Idstein in einen Lastwagen gefahren und dabei tödlich verletzt worden. Die Autobahn zwischen Bad Camberg und Limburg-Süd musste mehr als fünf Stunden in Fahrtrichtung Köln voll gesperrt werden.

Other news