Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsMessenger: Schwere Sicherheitslücke in Skype entdeckt
Der deutsche Sicherheitsforscher Stefan Kanthak hat eine schwerwiegende Sicherheitslücke in Microsofts Skype-Messenger entdeckt, welche von Seiten des Redmonder Unternehmens nicht ohne weiteres behoben werden kann. Eine Nutzung birgt aktuell ein nicht unerhebliches Risiko.
Oha. Na das wird so einige Firmen recht bremsen wenn die deswegen die Finger davon lassen müssen bis das behoben ist. Was für ein Spaß für die IT-Abteilungen.
Die Skype Version ist eh ein schlechter Scherz zumindest für PC Nutzer. Kaum Einstellungen, kein Statussymbol in der Taskleiste, 300MB Begrenzung beim Datenaustausch.
Die Idee Skype gleich von Hausaus in Win 10 einzubauen finde ich ja nice. Aber X mal lieber die Desktop/Classic Version. Wobei ich mich schon frage bzw das Gefühl habe das Skype in Sterben liegt. In letzter Zeit sehe ich immer mehr den Namen "Discord" und wie die Leute immer mehr darauf wechslen...
Danke für die Information. Hab ihn deinstalliert - benötige den Messenger eh nicht mehr. Aber ich finde dann braucht MS den auch nicht mit Win 10 mitzuintallieren, wenn so 'ne Lücke über einen längeren Zeitraum ungefixed drin ist.
Da das ganze Problem über den Skype Updater (soweit ich das richtig nachvollzogen habe) kommt, vermute ich, das das auch die Business-Variante betrifft. Wobei die IT-Abteilungen oft ja generell sparsam sind mit Updates.
Soweit ich das sehe muss aber erst über einen anderen Weg Schadcode auf den eigenen PC kommen damit das genutzt werden kann... es steht dann nur ein Weg zur Rechteausweitung offen der eigentlich nicht vorhanden sein sollte.
jetzt erst, keine Ahnung was vor ein paar Jahren beim Laptop meiner Frau loswar. Ein "Werbe" Video, lief plötzlich wie blöd im Skype.. und plötzlich schlug der Virenscanner an. Dank absichtlich reingepfuschter Werbung damit die User auf die App wechseln...
Teilweise geht die CPU nur beim Starten von Skype im Hintergrund durch die Decke, ohne dass überhaupt was passiert...
Oha. Na das wird so einige Firmen recht bremsen wenn die deswegen die Finger davon lassen müssen bis das behoben ist. Was für ein Spaß für die IT-Abteilungen.
In dem Moment wo der Angreifer die DLL und den passenden Code/Script auf dein System bekommt könnte er auch jeden anderen Schadcode auf dein System zimmern. Da bist du quasi schon gef*ckt.
Ob da dann noch ne Lücke in Skype ausgenutzt wird um an höhere Rechte zu kommen oder nicht spielt dann eigentlich auch nicht mehr die wahnsinnsgroße Rolle.
@CB
Der deutschen Sicherheitsforscher Stefan Kanthak hat eine
Das aktuelle Skype 8 ist bereits die "nächste Version" wenn man von September 2017 ausgeht. ist das in Skype 8 dann schon gefixt?
Das 8er Update für Windows kam im Oktober 2017 als preview (laut version history) und im November als Release (laut Wikipedia).
In dem Moment wo der Angreifer die DLL und den passenden Code/Script auf dein System bekommt könnte er auch jeden anderen Schadcode auf dein System zimmern. Da bist du quasi schon gef*ckt.
Ob da dann noch ne Lücke in Skype ausgenutzt wird um an höhere Rechte zu kommen oder nicht spielt dann eigentlich auch nicht mehr die wahnsinnsgroße Rolle.
Jein. Einem Cryptotrojaner kann e relativ egal sein, der kann schon mit User-Rechten genug anstellen. Aber z.B. ein Keylogger kann die erhöhten Berechtigungen gut gebrauchen...
Da das ganze Problem über den Skype Updater (soweit ich das richtig nachvollzogen habe) kommt, vermute ich, das das auch die Business-Variante betrifft. Wobei die IT-Abteilungen oft ja generell sparsam sind mit Updates.
Skype for Business sollte nicht betroffen sein, da das über die Office-Update-Wege aktualisiert wird. Ich habe auch keinen Skype Updater zu meiner S4B-Installation gefunden.
S4B und Skype sind völlig verschiedene Produkte, die sich nur aus Marketinggründen einen Namen teilen. Der S4B 2016-Client heißt nicht umsonst "lync.exe".
So, nun überlegen wir mal kurz.
Die Problematik ist gar keine, wenn der Nutzer lokal keine Adminrechte hat,
denn per Default möchte Windows 10 bei einer Umbenennung oder Löschung
Adminrechte haben im Program Files (x86) - Verzeichnis.
Somit wird bei einigermaßen verantwortungsbewussten Unternehmen kein
Problem mit dem Updater auftreten.
Und wer daheim mit einem Adminkonto werkelt, der hat es nicht besser gewusst.
Habe nichts konkretes gefunden, aber die Store Version (->App) von Skype sollte davon ja nicht betroffen sein, weil der Update Prozess ja vom Store übernommen wird, richtig?
Wenn ich das Problem richtig verstehe muss ein Angreifer erstmal eine manipulierte DLL in mein System schleusen um dann mithilfe das Skype updaters die Berechtigungen zu erhöhen.
Ist keine frage ein ernsthaftes Problem aber es muss ja erstmal die DLL auf mein System.
Die DLL reicht angeblich im temp Verzeichnis des Browsers. Das Problem ist da schon eher das umbenennen der orig. Datei. Das geht ja nicht einfach von extern, dazu muss Code auf den PC geschleust werden.
