Update vom 16.02.2018:
Im Support-Forum teilte die Leiterin des Skype Insider Program Ellen Kilbourne mit, dass sich die DLL-Sicherheitslücke nur im Windows-Installationsprogramm von Skype in den Versionen 7.40 und darunter finden würde. Die Skype-Software selbst sei nie betroffen gewesen, vielmehr tauche die Schwachstelle nur im Programm auf, mit dem Skype auf Windows-Rechnern installiert wird. In der schon seit Oktober 2017 angebotenen Version 8 von Skype sei der Fehler, mit dem Angreifer weitreichende Systemrechte erlangen können, nicht mehr zu finden. Nutzer, die bereits Version 8 von Skype installiert haben, seien laut Microsoft nicht betroffen. Die älteren Versionen wurden von den Microsoft-Servern entfernt. Zur Installation von Skype sollte demnach nur der Installer für Windows (v8) genutzt werden.
Dennoch bleiben die Hintergründe der am 9. Februar publik gemachten Skype-Lücke verwirrend. Als der Entdecker der Schwachstelle Stefan Kanthak Microsoft im September 2017 auf die Problematik hinwies, hieß es von Unternehmensseite noch, dass die Sicherheitslücke nur mit großen Umbaumaßnahmen und einem komplett neuen Client behoben werden könne. Schon einen Monat später veröffentlichte Microsoft die angeblich sichere Version 8 von Skype.
Originalmeldung vom 13.02.2018:
Im beliebten Messenger Skype klafft eine schwere Sicherheitslücke . Damit können sich Angreifer systemweite Administrationsrechte verschaffen. Über die Schwachstelle können sich lokale Nutzer Zugang zu allen Bereichen des Betriebssystems verschaffen. Microsoft, dem der Dienst Skype gehört, kann die Lücke eigenen Angaben zufolge auch nicht ohne Weiteres schließen. Stattdessen seien weitreichende Umbauten am Code nötig.
Die vom deutschen Sicherheitsforscher Stefan Kanthak entdeckte Lücke baut auf die Update-Funktion von Skype auf. Über eine DLL-Hijacking-Technik kann der Angreifer anstelle der Aktualisierungen verseuchte Software auf den Rechner laden. Auf diese Weise lässt sich der Software eine manipulierte DLL-Datei unterjubeln, die von Skype dann verwendet wird. Laut Kanthak lässt sich die komplexe Lücke für Angriffe nutzen. Die Schwachstelle sei darüber hinaus auch nicht nur für Windows-Rechner gefährlich, sondern könnte grundsätzlich auch Systeme mit Linux oder OS X betreffen. Nach einer erfolgreichen Attacke könnten Diebe Dateien stehlen, Daten löschen oder den Besitzer des Rechners mit einer Ransomware erpressen. Laut Microsoft sei erst in einer komplett neuen Version von Skype mit einer Schutzfunktion zu rechnen, allein mit einem Update sei dies nicht getan. Microsoft will alle Ressourcen dazu aufwenden, einen komplett neuen Client für Skype zu entwickeln.
Autor: Michael Söldner, Autor
Michael Söldner schreibt News zu den Themen Windows, Smartphones, Sicherheit, Hardware, Software, Gaming, Auto sowie Raumfahrt auf pcwelt.de.