Durch eine kürzlich gefixte Sicherheitslücke in der Messaging-Software Skype konnten Angreifer bislang Windows-Systeme mit Schadcode infizieren. Tarnkappe.info berichtet.
Die Große Koalition hat sich einem Bericht des Handelsblatts zufolge kurz vor der Sommerpause doch noch auf die Abschaffung der sogenannten Störerhaftung für Anbieter öffentlicher WLAN-Netze geeinigt. Somit ist nun der Weg frei für mehr kabelloses Internet in Hotels, Gaststätten, Cafés und Innenstädten. Die Verabschiedung soll noch vor der Sommerpause erfolgen.
Benjamin Kunz Mejri von Vulnerability Lab sowie das Blog “ Vulnerability Magazine“ haben eine, bis nach dem Patch von Microsoft, sogenannte Zero Day Sicherheitslücke in der Messaging-Software Skype gefunden welche eine Remotecode-Ausführung erlaubt. Natürlich wird auch Skype gerne in offenen WLAN-Netzen genutzt. Cyberkriminelle konnten damit bis gestern einige Probleme auf den Computern der Opfer hervorrufen.
Die Sicherheitslücke CVE-2017-9948 in der Windows-Bibliothek MSFTEDIT.DLL steckte in den Versionen 7.2, 7.35 und 7.36. Ein Angreifer konnte auf den Zielrechnern mit präparierten Bildern Schadcode einzuschleusen, auszuführen und auch einen Absturz der Anwendung auszulösen. Im Sicherheitsteam hat man eine Bilddatei aus der Zwischenablage in das Skype-Fenster kopiert, die die Grenzen für eine Übertragung übersteigt (Pufferüberlauf). Das führte zu einem Skype-Stacküberlauf samt Absturz des Programms. Die Angriffe lassen sich laut Mejri lokal und eben remote (z.B. per RDP-Sitzung) ausnutzen. Außerdem betonte er, dass keine Interaktion mit einem Nutzer notwendig ist. Einzige Voraussetzung sei ein Skype-Konto.
Im Mai informierte Kunz Mejri Microsoft über das Problem, das schließlich einen Fix ankündigte und diesen seit dem 8. Juni mit dem Update auf die Version 7.37.178 ausliefert. Seit dem 26. Juni 2017 ist der kritische Fehler nun öffentlich, eine Aktualisierung auf die letzte Skype-Version ist also höchst ratsam, wenn noch nicht geschehen.
Vulnerability Lab bewertete die Schwachstelle mit 7,2 Punkten im zehnstufigen CVSS Test (Common Vulnerability Scoring System). Nach Schätzungen des Unternehmens sollte der Zero-Day-Bug auf dem Schwarzmarkt einen Preis von 25.000 bis 35.000 Euro erzielt haben. Die Funktionsweise des Exploits zeigt das Unternehmen zudem in einem Video (siehe unten).
Interessiert ihr Euch für mehr für dieses Thema, oder generell für techniklastige Nachrichten? Folgt mir doch einfach auf Twitter!
https://www.youtube-nocookie.com/embed/VUx2TSJ36-g
Video: Microsoft Skype Version 7.2 7.35 7.36 – Bug auf Windows 8
https://tarnkappe.info/?flattrss_redirect&id=20877&md5=d9c42ce2341fc24cea4b20f83d29bbac
https://tarnkappe.info/kritische-skype-sicherheitsluecke-geschlossen/Quelle
Autor: Christopher Kardas
Quelle