![\"Skype\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/06\/Skype_thumb.jpg\" "\\"Skype\\"")
Noch ein kurzer Nachtrag zum Thema Sicherheitsl\u00fccke in Skype. Microsoft will die k\u00fcrzlich berichtete Sicherheitsl\u00fccke im Skype-Updater bereits im Oktober 2017 behoben haben. Nachfolgend greife ich mal einige Aspekte zum Thema auf.<\/p>\n
<\/p>\n
Der Updater von Skype l\u00e4uft unter dem Konto System, hat also alle Privilegien. Gleichzeitig kann der Skype-Update-Installer mit einer DLL-Hijacking-Technik<\/a> ausgetrickst werden. Stefan Kanthak hatte das Problem entdeckt und dann an Microsoft gemeldet.<\/p>\n Die R\u00fcckmeldung, die er erhielt, lautete: Der Fehler wird vorerst durch Microsoft nicht behoben. Zack Whittaker hatte das Thema dann bei ZDNet.com aufgegriffen<\/a> und Details ver\u00f6ffentlicht. Dies l\u00f6ste ein weltweites Medienecho aus.<\/p>\n Hintergrundinformation: Stefan Kanthak hat Details in seiner Beschreibung auf seclists.org<\/a> ver\u00f6ffentlicht. Der Eintrag datiert vom 9. Februar 2018, weil ein Mail-Austausch mit mir den Vorgang bei Stefan wieder hochsp\u00fclte. Er beschloss darauf hin wohl, dann den Vorgang \u00f6ffentlich zu machen.<\/p><\/blockquote>\n Im Microsoft Answers Skype-Forum<\/a> hat Skype Programm-Manager Ellen Kilbourne jetzt Stellung bezogen. Hier ihre Antwort:<\/p>\n At Skype, we take security very seriously.<\/p>\n There was an issue with an older version of the Skype for Windows desktop installer \u2013 version 7.40 and lower. The issue was in the program that installs the Skype software \u2013 the issue was not in the Skype software itself. Customers who have already installed this version of Skype for Windows desktop are not affected. We have removed this older version of Skype for Windows desktop from our website skype.com.<\/p>\n The installer for the current version of Skype for Windows desktop (v8) does NOT have this issue, and it has been available since October, 2017.<\/p><\/blockquote>\n Oder auf den kurzen Nenner gebracht: In allen Skype-Clients bis zur Version 7.40 ist die Sicherheitsl\u00fccke enthalten. Im Skype for Windows Desktop Client (Version 8), der seit dem Oktober 2017 erh\u00e4ltlich ist, wurde die Sicherheitsl\u00fccke im Installer gefixt.<\/p>\n Korrektur: Urspr\u00fcnglich stand im Text, dass das Ganze zum 17.10.2017 gefixt worden sei. Martin Geu\u00df machte mich darauf aufmerksam, dass das nicht stimmt. Laut diesem Blog-Beitrag<\/a>\u00a0kam der Fix am 30. Oktober 2017.<\/p><\/blockquote>\n Nat\u00fcrlich kommen jetzt wieder die Vorw\u00fcrfe an die Autoren der Beitr\u00e4ge: 'Ihr habt ne Story aufgebauscht, die keine ist. Und eine Sicherheitsl\u00fccke war es auch keine, weil es administrative Privilegien braucht.' Mag sein, mag auch nicht sein \u2013 die Wahrheit liegt im Auge des Betrachters. Nur durch die Berichterstattung l\u00e4sst sich die Sau gezielt durch's Dorf treiben.<\/p>\n Aber die Geschichte hat noch zwei andere Aspekte, die ich auf die Tapete bringen m\u00f6chte. Geht in Richtung 'die linke Hand bei Microsoft wei\u00df nicht, was die rechte tut'. Nur mal zum auf der Zunge zergehen lassen.<\/p>\n Aber das Ganze l\u00e4sst sich noch steigern. Laut Skype-Forenbeitrag wurde Skype im Oktober 2017 auf Version 8 aktualisiert, und das Problem behoben. Stefan Kanthak hat auf seclists.org<\/a> aber eine Timeline ver\u00f6ffentlicht.<\/p>\n Zumindest sind wir da wohl wieder bei linker Hand, rechter Hand. Und es gibt noch eine aktuelle R\u00fcckmeldung von Blog-Leser Karl auf meinen Post bei Google+:<\/p>\n Die Version 8 f\u00fcr alles \u00e4lter als Windows 10 ist doch neu. Aber updated sich nicht immer automatisch. W\u00e4hrenddessen will Windows Update einem noch Skype 7 unterjubeln weil es nicht erkennt das 8.x schon installiert ist. Willkommen in der Welt der fehlenden Kommunikation.<\/p><\/blockquote>\n Mehr brauche ich dazu wohl nicht zu sagen. So ist ein kleiner Nachtrag doch noch zu einem l\u00e4ngeren Blog-Beitrag mutiert. (via<\/a>)<\/p>\n Nachtrag:<\/strong> In obigem Text hatte ich irrt\u00fcmlich den Skype-Fix auf den 17. Oktober, statt den 30. Oktober 2017 gelegt. \u00c4ndert aber am eigentlichen Thema 'schlecht kommuniziert' nichts.<\/p>\n Martin hat bei Dr. Windows diesen Beitrag<\/a>\u00a0zudem darauf hingewiesen, dass Microsoft auf Grund der Berichterstattung den alten Skype-Client 7.40 aus dem Download-Bereich entfernt hat. Hier der Tweet, wo das thematisiert wird.<\/p>\n No, they say they had the installer for 8.x available since October 2017 AND that they removed the installer for 7.40 from the website. They didn't say *when* they removed 7.40, because they removed it yesterday.<\/p>\n \u2014 Vadim Sterkin (@vsterkin) 15. Februar 2018<\/a><\/p><\/blockquote>\nIch hatte vor einigen Tagen den Blog-Beitrag Skype-Sicherheitsl\u00fccke in Update bleibt vorerst ungefixt<\/a> \u00fcber ein Problem berichtet. In Skype gibt es im Update-Prozess des Desktop-Clients f\u00fcr Windows bis zur Version 7.4 eine Sicherheitsl\u00fccke, die einem Angreifer erm\u00f6glichen, Zugriffsrechte auf Systemebene f\u00fcr das System zu erlangen.<\/p>\n
Microsoft: Wir haben im Oktober 2017 gepatcht<\/h2>\n
Meine zwei Cents<\/h2>\n
\n
\n
Microsoft zieht alten Skype-Client zur\u00fcck<\/h2>\n
\n