Microsoft behebt schwerwiegende Sicherheitslücke von Skype vorerst nicht

Eine aktuelle Zero-Day-Sicherheitslücke im Update-Modul von Skype erlaubt es Angreifern sich per DLL-Hijacking über eine Remote-Verbindung komplette Administrator-Rechte einzuholen. Laut Microsoft erfordert die Schließung der Sicherheitslücke ein umfangreiches Update, welches aktuell nicht zur Verfügung gestellt werden könne.

Erst mit der Veröffentlichung einer neuen Version von Skype will sich Microsoft diesem Fehler annehmen, bis dahin bleibt die Sicherheitslücke bestehen und kann theoretisch ausgenutzt werden. Microsoft wurde bereits im September 2017 über die Sicherheitslücke informiert, da ein Patch der Lücke noch immer nicht ausgerollt wurde, hat sich der deutschen Sicherheitsforscher Stefan Kanthak an die Öffentlichkeit gewandt.

Eigentlich wird Skype nur mit den Rechten des angemeldeten Anwenders geöffnet und stellt kein größeres Ziel für Angriffe auf das System dar. Bedingt durch das DLL-Hijacking lässt sich die Rechtebeschränkung allerdings umgehen und ein Angreifer kann als System-Nutzer die volle Kontrolle über den PC erlangen.

(Bild: Die aktuell sicherere Anmeldung auf Skype über den Web-Berowser als Client)