ComputerBase Menü
Aktuelles

News Messenger: Schwere Sicherheitslücke in Skype entdeckt

Die viel größere Lücke ist, dass man immer diese aufgeblasene Ansicht hat und keine kompatke Ansicht. Links die Kontakte und rechts immer das Fenster zum Chat offen, selbst wenn keiner aktiv ist.
 
@habla2k:
wenn du das Desktop-Programm verwendest, dann kannst du in den Optionen das Layout ändern, genaue Bezeichnung fällt mir gerade nicht ein, aber die Funktion existiert.

In der App könntest du die Fenstergröße so anpassen, dass nur die Kontakte eingeblendet sind und bei klick auf einen Kontakt dann nur der Chat da ist. Das ist ja auch deutlich kompakter als die von dir beschriebene Ansicht.
 
Will das jetzt nicht bagatellisieren aber wenn erst einmal eine .dll ins Temp Verzeichnis muss und dann auch noch eine Datei umbenannt werden muss gehe ich nicht davon aus, dass das in der Praxis beim Otto-Normal-User große Anwendung findet.
 
Früher gab es einen Komptaktmodus, mit dem letzten Update ist der aber verschwunden, ich habe mehrfach alles durchgeschaut und konnte keine Option finden. Es ist schon total umständlich überhaupt die Einstellungen zu finden.
 
und ohne die Dumpfbacke vor der Tastatur ist auch diese Lücke so harmlos wie ein zahnloser Tiger! Also jeder bekommt nur wieder das was er verdient!
 
Ich wünschte mir von dieser Nachricht auf ComputerBase, dass darauf eingegangen wird, ob alle Versionen von Skype (UWP, Desktop, ...) betroffen sind und wie man das Risiko (außer dem Deinstallieren) minimieren kann.
 
Gibt es nicht immer irgendeine Privilege Escalation unter Windows? Bin jetzt nicht so besorgt wegen der Lücke, da hier ja scheinbar noch etwas Vorarbeit nötig ist.

Was mir im Artikel fehlt sind Workarounds. Reicht es Skype abzuschalten, muss man den Updatedienst abstellen oder ist es am Ende notwendig Skype komplett zu deinstallieren?
 
Die Ansicht lässt sich doch unter *Anzeige -> Einzelfensteransicht / Geteilte Fensteransicht* auf diesen kompakten Modus ändern?!
Zumindest bei der Desktopversion.
 
Langsam könnten wir anfangen zu berichten welche App od Hardware keine Sicherheitslücke hat ;-)
 
Etwas genauere Infos wären nett. Gibt ja immerhin mit App und klassischer Desktopversion zwei komplett verschiedene Installationsmöglichkeiten. Und dann ist auch noch fraglich, wie man die Sicherheitslücke ausnutzen kann. Muss der Angreifer als Freund in der Kontaktliste stehen, oder läuft das z.B. über ein kompromittiertes Wlan und hat mit den Kontakten gar nichts zu tun? Fragen über Fragen...

Letztlich ist es mir auch relativ egal. Discord ist so oder so besser als Skype, Telegram gibt es auch noch und theoretisch auch Whatsapp (wobei ich das nicht nutze). Mehr als genug bessere Alternativen. Skype nervt in letzter Zeit nur noch. Auch ohne Sicherheitslücken.
 
Genau, würde mich auch interessieren, ob der "alte" und der "neue" Skype-Client betroffen ist. Und weshalb lädt der Skype Updater eine DLL aus einem Temp-Ordner vom Browser. Sie müsste doch im Ordner des Skype Updaters liegen - und da muss sie erstmal hingelangen.
 
Ein weiterer Grund für mich Skype zu entfernen. Alleine schon diese dubiose Werbung die da immer im Client eingeblendet wird ist eigentlich ein Witz ...
Edit: Okay, es betrifft ja nur den Skype-Messenger. Da sollte ich wohl zuerst genauer lesen :freaky:
Kenshin_01 schrieb:
(...)Wobei die IT-Abteilungen oft ja generell sparsam sind mit Updates.
Zum Vergrößern anklicken....

Was nicht an der IT-Abteilung liegen muss, wenn für Updates neue Lizenzen fällig werden würden für die kein Budget erübrigt wird :rolleyes:
 
Zuletzt bearbeitet:
Versteh ich nicht so ganz. Sollten/sind Microsoft Dateien nicht digital signiert? Einfache Hash Prüfung der Datei?
 
Ist man auch betroffen wenn man Skype rein über den Browser innerhalb seines Hotmail "Emailsystems" nutzt, weil ich Installiere mir das nicht seperat, aber ein paar Leute hab ich da ab und zu im Chat.
 
Aua, da werden unsere Admins aber nett zu tun bekommen - hoffentlich werden die schlau und wechseln wieder zurück auf Jabber. Das war mir eh sympathischer.
 
Ganz ehrlich? Nach der Überschrift dachte ich mir, es kommt die news dass eine(?) Sicherheitslücke das Mitschneiden von Videosessions ermöglicht.
Und dann ich so: sowas entdecken die JETZT erst? Woher wohl die ganzen privaten Sex und "webcam" Videos auf den Pornoseiten kommen :evillol:
Jaja, die die halt nicht gefaked sind :cool_alt:
MfG
 
FrAGgi schrieb:
Ein weiterer Grund für mich Skype zu entfernen. Alleine schon diese dubiose Werbung die da immer im Client eingeblendet wird ist eigentlich ein Witz ...
Zum Vergrößern anklicken....

Skype 8 hat keine Werbebanner mehr.
Ergänzung ()

http://seclists.org/fulldisclosure/2018/Feb/33

2017-10-27 reply from vendor's case manager:

"The engineers provided me with an update on this case.
They've reviewed the code and were able to reproduce
the issue, but have determined that the fix will be
implemented in a newer version of the product rather
than a security update. The team is planning on shipping
a newer version of the client, and this current version
will slowly be deprecated. The installer would need a
large code revision to prevent DLL injection, but all
resources have been put toward development of the new
client."
Zum Vergrößern anklicken....

Die "current version" zum damaligen Zeitpunkt war Skype 7.
Skype 8 sollte also tatsächlich die "newer version of the client" sein, die etwa einen Monat nach diesem Statement veröffentlicht wurde.
 
Ich frage mich, welche DLL fürs DLL-Hijacking unter Linux verwendet werden soll (Tipp: Es gibt unter Linux keine DLLs). Version 7 erschien übrigens nie für Linux, da ging es von Version 5 direkt auf Version 8.
 
Es gibt auch unter Linux "DLL"s, sie werden nur nicht durch diese Endung gekennzeichnet (sondern normalerweise mit ".so"). Aber das Kürzel steht einfach nur für Dynamic Link Library, also Bibliotheken die dynamisch gelinkt werden und die gibt's auch unter Linux.
 
Ja richtig, allerdings kenne ich speziell die Bezeichnung DLL nur in Bezug auf die Windows-Variante (mit entsprechender Dateiendung). Und ich frage mich, ob das Hijacking mit .so-Dateien unter Linux genauso durchgeht, wie mit .dll-Dateien unter Windows. Ich spreche gar nicht erst davon, dass der Update Installer, in dem der Fehler sitzen soll, in der Linux-Version gar nicht vorhanden ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MichaG
Notiz Schwere Sicherheitslücke: Samsungs SSD-Tool Magician sollte aktualisiert werden
2 3
Antworten
50
Aufrufe
8.014
tsiebold
T
Intruder
  • Gesperrt
Schwere Sicherheitslücke in WinRAR gefunden - es wird zu Update geraten
2 3
Antworten
46
Aufrufe
2.649
Markchen
Markchen
SVΞN
News Schwere Sicherheitslücke: From Software deaktiviert Multiplayer in allen Dark Souls
2 3 4
Antworten
73
Aufrufe
13.207
Wasserhuhn
W
SVΞN
News Google Chrome 94: Schwere Sicherheitslücken werden geschlossen
Antworten
13
Aufrufe
4.208
Oldtimer
O
Jan
Notiz Packprogramm: 7-Zip vor Version 18.05 enthält eine schwere Sicherheitslücke
2
Antworten
25
Aufrufe
14.584
vander
V
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz