Skype
Skype

Skype: kritische Sicherheitslücke im Messenger geschlossen

Durch eine kürzlich gefixte Sicherheitslücke bei Skype konnten Angreifer bislang Windows-Systeme mit Schadcode infizieren. Tarnkappe.info berichtet.

Durch eine kürzlich gefixte Sicherheitslücke in der Messaging-Software Skype konnten Angreifer bislang Windows-Systeme mit Schadcode infizieren. Tarnkappe.info berichtet.

Kritische Sicherheitslücke bei Skype geschlossen

Benjamin Kunz Mejri von Vulnerability Lab sowie das Blog “ Vulnerability Magazine“ haben eine, bis nach dem Patch von Microsoft, sogenannte Zero Day Sicherheitslücke in der Messaging-Software Skype gefunden welche eine Remotecode-Ausführung erlaubt. Natürlich wird auch Skype gerne in offenen WLAN-Netzen genutzt. Cyberkriminelle konnten damit bis gestern einige Probleme auf den Computern der Opfer hervorrufen.

Die Sicherheitslücke CVE-2017-9948 in der Windows-Bibliothek MSFTEDIT.DLL steckte in den Versionen 7.2, 7.35 und 7.36. Ein Angreifer konnte auf den Zielrechnern mit präparierten Bildern Schadcode einzuschleusen, auszuführen und auch einen Absturz der Anwendung auszulösen. Im Sicherheitsteam hat man eine Bilddatei aus der Zwischenablage in das Skype-Fenster kopiert, die die Grenzen für eine Übertragung übersteigt (Pufferüberlauf). Das führte zu einem Skype-Stacküberlauf samt Absturz des Programms. Die Angriffe lassen sich laut Mejri lokal und eben remote (z.B. per RDP-Sitzung) ausnutzen. Außerdem betonte er, dass keine Interaktion mit einem Nutzer notwendig ist. Einzige Voraussetzung sei ein Skype-Konto.

Besser sofort updaten!

Im Mai informierte Kunz Mejri Microsoft über das Problem, das schließlich einen Fix ankündigte und diesen seit dem 8. Juni mit dem Update auf die Version 7.37.178 ausliefert. Seit dem 26. Juni 2017 ist der kritische Fehler nun öffentlich, eine Aktualisierung auf die letzte Skype-Version ist also höchst ratsam, wenn noch nicht geschehen.

Vulnerability Lab bewertete die Schwachstelle mit 7,2 Punkten im zehnstufigen CVSS Test (Common Vulnerability Scoring System). Nach Schätzungen des Unternehmens sollte der Zero-Day-Bug auf dem Schwarzmarkt einen Preis von 25.000 bis 35.000 Euro erzielt haben. Die Funktionsweise des Exploits zeigt das Unternehmen zudem in einem Video (siehe unten).

Bug hätte den Wert von bis zu 35.000 EUR

Wenn du weitergehend über die neuesten Technik-Nachrichten informiert werden möchtest, kannst du dem Autor dieser News gerne auf Twitter folgen!


Video: Microsoft Skype Version 7.2 7.35 7.36 – Bug auf Windows 8

Tarnkappe.info