Microsoft schließt kritisches Leck in Skype

Skype (Bild: Microsoft)

Der Fehler ließ sich lokal und remote ausnutzen. Die einzige Voraussetzung für einen Angreifer war ein gültiges Skype-Konto.

Die Versionen 7.2, 7.35 und 7.36 des Messaging-Clients Skype litten an einem kritischen Leck. Wie jetzt bekannt wurde, hat Microsoft bereits zu Beginn des Monats den Fehler behoben. Über das Sicherheitsleck in der Windows-Bibliothek Msftedit.dll konnte ein Angreifer Schadcode einschleusen und ausführen und so auch einen Absturz der Anwendung auslösen.

Der Sicherheitsforscher Benjamin Kunz Mejri von Vulnerability Lab hat das Leck entdeckt und nun auf einem Blog Details dazu veröffentlicht. Mitte Mai informierte er Microsoft über das Problem. Seit dem 8. Juni liefert der Anbieter diesen mit dem Update auf die Version 7.37.178 aus.

Skype (Bild: Microsoft)

Der Fehler tritt laut dem Forscher bei Kopiervorgängen auf und kann beispielsweise mit speziell präparierten Bildern ausgenutzt werden. Wird ein solches Bild von der Zwischenablage in Skype kopiert, löst Skype einen Pufferüberlauf aus, der schließlich zu einem Absturz führt und eine Remotecodeausführung erlaubt. Mejri betont, dass die Anfälligkeit sowohl lokal wie auch aus der Ferne ausgenutzt werden kann und keine Interaktion mit einem Nutzer notwendig ist. Voraussetzung, um das Leck ausnutzen zu können ist ein ein Skype-Konto, wie der Sicherheitsforscher mitteilt.

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

“Angreifer sind in der Lage, die Software mit einer einzigen Anfrage zum Überschreiben des EIP-Registers des aktiven Software-Prozesses abstürzen zu lassen”, so der Bericht . “Das erlaubt es lokalen oder entfernten Angreifern, eigenen Code auf betroffenen und über die Skype-Software verbundenen Computersystemen auszuführen.”

Vulnerability Lab bewertet die Schwachstelle mit 7,2 Punkten im zehnstufigen Common Vulnerability Scoring System. Die Funktionsweise des Exploits zeigt das Unternehmen zudem in einem Video.

[mit Material von Stefan Beiersmann, ZDNet.com]

Umfrage

Welche Ziele verfolgen Sie mit der digitalen Transformation?

Ergebnisse

Loading ... Loading ...