Kritische Skype-Sicherheitslücke geschlossen

Article by · 30. Juni 2017 ·


Durch eine kürzlich gefixte Sicherheitslücke in der Messaging-Software Skype konnten Angreifer bislang Windows-Systeme mit Schadcode infizieren. Tarnkappe.info berichtet.

Benjamin Kunz Mejri von Vulnerability Lab sowie das Blog “ Vulnerability Magazine“ haben eine, bis nach dem Patch von Microsoft, sogenannte Zero Day Sicherheitslücke in der Messaging-Software Skype gefunden welche eine Remotecode-Ausführung erlaubt. Natürlich wird auch Skype gerne in offenen WLAN-Netzen genutzt. Cyberkriminelle konnten damit bis gestern einige Probleme auf den Computern der Opfer hervorrufen.

Die Sicherheitslücke CVE-2017-9948 in der Windows-Bibliothek MSFTEDIT.DLL steckte in den Versionen 7.2, 7.35 und 7.36. Ein Angreifer konnte auf den Zielrechnern mit präparierten Bildern Schadcode einzuschleusen, auszuführen und auch einen Absturz der Anwendung auszulösen. Im Sicherheitsteam hat man eine Bilddatei aus der Zwischenablage in das Skype-Fenster kopiert, die die Grenzen für eine Übertragung übersteigt (Pufferüberlauf). Das führte zu einem Skype-Stacküberlauf samt Absturz des Programms. Die Angriffe lassen sich laut Mejri lokal und eben remote (z.B. per RDP-Sitzung) ausnutzen. Außerdem betonte er, dass keine Interaktion mit einem Nutzer notwendig ist. Einzige Voraussetzung sei ein Skype-Konto.

Im Mai informierte Kunz Mejri Microsoft über das Problem, das schließlich einen Fix ankündigte und diesen seit dem 8. Juni mit dem Update auf die Version 7.37.178 ausliefert. Seit dem 26. Juni 2017 ist der kritische Fehler nun öffentlich, eine Aktualisierung auf die letzte Skype-Version ist also höchst ratsam, wenn noch nicht geschehen.

Vulnerability Lab bewertete die Schwachstelle mit 7,2 Punkten im zehnstufigen CVSS Test (Common Vulnerability Scoring System). Nach Schätzungen des Unternehmens sollte der Zero-Day-Bug auf dem Schwarzmarkt einen Preis von 25.000 bis 35.000 Euro erzielt haben. Die Funktionsweise des Exploits zeigt das Unternehmen zudem in einem Video (siehe unten).

 

Wenn du weitergehend über die neuesten Technik-Nachrichten informiert werden möchtest, kannst du dem Autor dieser News gerne auf Twitter folgen!


Video: Microsoft Skype Version 7.2 7.35 7.36 – Bug auf Windows 8

Mehr zu diesem Thema:

Flattr this!

4 Comments

  • comment-avatar

    Ryan Stevens

    It’s really great post and news about Skype. I’m still using Skype it really helpful for me. Thanks for sharing this news about us. :-)

  • comment-avatar

    Jason Borowski

    Danke für diese Info. Da kann man nur hoffen, dass einem mit dem Update nicht auch gleich der neue Bundestrojaner untergejubelt wird. Zwickmühle.

  • comment-avatar

    Tanja

    Toller Beitrag, wie findet man so eine komplizierte Sicherheitslücke?

    • comment-avatar

      Man versetzt sich in die Position der Hacker und probiert einfach alles mögliche aus. Der Zugang zu Untergrund-Foren, wo derartige Schadsoftware verkauft wird, ist natürlich auch hilfreich. Irgendwann geht die Software bei den Belastungs-Tests in die Knie und dann analysierst Du, wieso dies geschehen ist.


Kommentar verfassen

%d Bloggern gefällt das: