[Update 15.02.] Wie Ellen Kilbourne [MSFT] nun korrigierte, besteht der Fehler mit dem Skype Updater nur in der Version 7.40 und älter. „Kunden, die diese Version von Skype für Windows Desktop bereits installiert haben, sind davon nicht betroffen. Wir haben diese ältere Version von Skype für Windows Desktop von unserer Website skype.com entfernt.“ Wer also die Version 8 (seit Oktober 2017 installiert hat, ist nicht von dem Problem betroffen.
Noch schnell nachgereicht: Das Skype Desktop Programm (nicht die UWP-App) hat eine Sicherheitslücke, von der Microsoft schon seit September 2017 informiert wurde. Genauer gesagt die Skype Update Funktion. Microsoft steht hier vor dem selben Problem, wie auch Intel. Man müsste den gesamten Code umschreiben, um diese Lücke zu schließen. Es erfordert zu viel Arbeit.
Wie auch in den Sicherheitsupdates die wir monatlich bekommen, kann auch hier ein Angreifer eine bösartige DLL in einen vom Benutzer zugänglichen temporären Ordner herunterladen und in eine bestehende DLL umbenennen. Das entsteht dadurch, weil das Programm zuerst nach dieser DLL sucht und eben auch findet.
Stefan Kanthak, der die Lücke fand, sagte gegenüber ZDNet: „Windows bietet mehrere Möglichkeiten, dies zu tun, aber es beschränkt sich nicht nur auf Windows. Es ist auch auf Macs und Linux anwendbar. Es wird von Seiten Microsoft also kein Update geben. Man wird diese Lücke in einem neuen Clienten beheben und dann ausliefern.
Bisher ist noch nicht bekannt, ob diese Lücke schon ausgenutzt wurde. Man wird also mit dieser Lücke leben müssen, wenn man die Desktop-App verwendet. Aber das sind wir ja schon von anderen Programmen gewöhnt…..
Quelle: seclists.org via: zdnet [Update] via: winbuzzer.
Jetzt ist aber DLL-Hijacking schon seit über 10 Jahren bekannt. Das sowas übersehen wird bei den Updatern ist ein Armutszeugnis.
Die Lücke betrifft den Updater der alten Skype Version. Natürlich macht sich niemand mehr Arbeit, darin Fehler zu beheben.
Das Problem könnte man leicht lösen in dem man den Code nicht als Dynamische Bibliothek(DLL) kompiliert sondern als statische Bibliothek und fest mit der exe-Datei linkt.
Das lässt wenn z.B. Visual Studio benutzen wird mit wenigen Anpassungen erreichen und die evtl Code Anpassungen wenn überhaupt, dürften minimal sein.
Kann sicher muss man deswegen nicht den ganzen Code umschreiben
Die Gründe warum Microsoft nicht fixt, sind da eher strategischer Natur.
Man will das die Benutzer die UWP Version nutzen.
Für Anwender ist es aber auch nur dann gefährlich, wenn man eine entsprechende DLL an nem Ort hat, auf den der Installer zugreift (z.B. %SystemRoot%\Temp\). Ist das bereits der Fall ….. muss man sich fragen wieso. Aber wer nützt heute auch noch Skype? https://de.wikipedia.org/wiki/Skype#Kritik
Hallo Alex, ich benutze noch oft Skype, da sehr viele Freunde ob nun hier in Indien am PC oder in Brasil oder Europe
ist ne gute Einrichtung..Auch mal über den Tellerrand Schauen gibt nicht nur Deutschland.
Ein Anruf mit einer Deutschen Handynummer von Indien nach Deutschland zur Bank 7Min Abgebucht leicht über 8Euro und mit einer Indischen Handynummer ca je nach Anbieter ca 10INR +/- (je nach Anbieter) 13 cent .
GEHE ICH LIEBER EINEN SAUFEN ALS DER TELEFON GESELLSCHAFT ZU FINANZIEREN
Um mal mit nen Kumpel zu Quatschen, da nicht jeder Face Time hat ..ist das olle Skype ok oder DIE benutzen auf dem Handy Tow Way oder derengleichen.
Es kost Nix ,läuft seit jahren auf meinen Diversen Rechnern mit ,wenn ich dran Sitze .
schönen Tag noch …Gruß
Das stimmt doch gar nicht – Microsoft hat das mit Version 8 schon gefixt!
https://winbuzzer.com/2018/02/15/microsoft-says-already-fixed-skype-fully-secure-xcxwbn/
Danke Paul. Ich hab es oben mal als Update eingetragen.
Ich habe die Version 8 neulich kurz angetestet. Selbst einfachste Dinge wie eine alphabetische Kontaktliste mit online-Kontakten oben und offline-Kontakten unten scheinen dort unmöglich oder nicht auffindbar zu sein. Für mich ein absolutes no-go. Bevor ich diese Version in dieser Form einsetze, verzichte ich lieber auf Skype.
Ich finde die 7er Version in diesem Zusammenhang schon nicht ideal (früher könnte man es so einstellen, dass man mehr Kontakte auf der selben Fläche gesehen hat). In der 7er Version ist der Abstand zwischen den Kontakten unnötig groß. Aber die 8er Version geht mal gar nicht. Wer sowas haben möchte: gerne. Aber es sollte konfigurierbar sein.