Jetzt auch mobil Kommentieren!

Schwere Lücke im Skype-Updater bleibt offen, Neuentwicklung nötig

Von Witold Pryjda am 13.02.2018 17:05 Uhr
15 Kommentare
Sicherheitslücken sind natürlich nie schön, in der Regel werden sie aber schnell von den Herstellern geschlossen. Dafür reicht meistens ein Patch, dieser wird auch normalerweise rasch geliefert. Das alles trifft im Fall einer aktuellen Skype-Schwachstelle nicht zu, denn Microsoft ist gezwungen, eine Lücke offenzulassen.

Der Sicherheitsforscher Stefan Kanthak hat bereits im vergangenen September eine schwere Lücke in Skype für Windows bzw. dessen Update-Installer gefunden und diese auch an Microsoft gemeldet. Doch diese Schwachstelle ist und bleibt vorerst ungepatcht. Denn laut Microsoft ist ein schnelles Beheben dieser Lücke nicht möglich, Grund dafür ist der Umstand, dass eine Behebung per Patch nicht ohne Weiteres machbar ist, so die Redmonder.

Wie ZDNet berichtet, will Microsoft die Lücke schließen, aber nicht im Rahmen eines Patches, sondern über eine neue Version des Skype-Clients für Windows auf dem Desktop. Microsoft teilte mit, dass die eigenen Entwickler die von Kanthak gefundene Methode nachvollziehen konnten, man aber für einen Fix eine "große Code-Revision" durchführen müsste. Deshalb werde man das über eine vollkommen neue Version der Software machen und eben nicht per Patch. Das Unternehmen versprach aber, dass man "alle Ressourcen" in die Programmierung des neuen Clients stecken werde.

DLL-Hijacking

Die Lücke selbst nutzt einen Bug aus, der es erlaubt, den Update-Installer über eine DLL-Hijacking-Technik zu manipulieren. Dabei kann eine Anwendung dazu gebracht werden, Schadcode statt der korrekten Bibliothek herunterzuladen. Ein Angreifer kann die manipulierte DLL in einen temporären Ordner, auf den Zugriff besteht, laden und umbenennen. Nach der Installation verwendet Skype den integrierten Updater, um diese Datei auf dem neuesten Stand zu halten.

Laut Kanthak ist das zwar ein schwerfälliger Hack, er kann aber verhältnismäßig einfach zu einer "Waffe" gemacht werden. Auf diese Weise kann ein Angreifer entsprechende Rechte und somit Zugriff auf das System bekommen.

Download Skype-Client von Microsoft
whatsapp
Jede Woche neu: Top-News per E-Mail
15 Kommentare lesen & antworten
Hoch © 2000 - 2018 WinFuture Impressum Datenschutz