![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Es ist eine \u00e4u\u00dferst unsch\u00f6ne Geschichte: Skype erm\u00f6glicht unter Debian die komplette \u00dcbernahme des Systems durch Microsoft. Ist ein privater Key bekannt, lie\u00dfe sich das System manipulieren oder Malware einschlie\u00dfen. Man sollte also auf die Installation von Skype verzichten oder dieses in einem isolierten Container installieren.<\/p>\n
<\/p>\n
\u00a0 The Skype debian packege for Skype (even when not installed via their That way, Microsoft (or anybody holding their repo's private key) Das Microsoft apt repo wird zu den Paket-Quellen des Systems hinzugef\u00fcgt. Damit kann Microsoft, oder jeder, der deren privaten Schl\u00fcssel f\u00fcr das repo kennt, die Pakete der Distribution austauschen und Malware einschleusen. Eine Sachlage, die einfach nicht tolerierbar ist.<\/p>\n Enrico Weigelt schl\u00e4gt dann auch folgerichtig vor, dass Microsoft alle apt-Konfigurationsmaterialien aus .deb entfernen. Bis Microsoft reagiert hat, k\u00f6nnen Nutzer von Debian nur folgendes machen:<\/p>\n a) Die Skype apt config (sources.list<\/em> Eintrag und den Microsoft apt Key) sofort nach der Installation entfernen.<\/p>\n b) Oder das Skype-Paket, vor der Installation auf eine Produktiv-Maschine, entpacken<\/a> und dann manuell (ohne die apt config<\/a>) neu packen<\/a><\/p>\n c) Oder Apt-Pinning<\/a> verwenden, um Microsofts Repo auf das Paket 'skypeforlinux' zu begrenzen.<\/p>\n c) Das Paket nur in einem isolierten Container installieren<\/p>\n Die letzte Alternative w\u00e4re, auf Skype unter Debian zu verzichten. Auf keinen Fall darf die z.B. in diesem Artikel<\/a> angegebene Vorgehensweise verwendet werden. Details sind auf seclists.org<\/a> nachzulesen. Das Ganze ist \u00fcbrigens nicht der erste Fall, wie man hier<\/a> nachlesen kann.<\/p>\n","protected":false},"excerpt":{"rendered":" Es ist eine \u00e4u\u00dferst unsch\u00f6ne Geschichte: Skype erm\u00f6glicht unter Debian die komplette \u00dcbernahme des Systems durch Microsoft. Ist ein privater Key bekannt, lie\u00dfe sich das System manipulieren oder Malware einschlie\u00dfen. Man sollte also auf die Installation von Skype verzichten oder … Weiterlesen Die Information d\u00fcmpelt bereits einige Tage bei mir herum. Ich bin auf seclist.org auf den entsprechenden Sicherheitshinweis Skype Debian package: allows complete machine takeover for Microsoft<\/a> gesto\u00dfen. Enrico Weigelt, Metux IT Consult, beschreibt dort bereits am 25. September 2018 den als kritisch anzusehenden Fehler. Das Problem beschreibt er folgenderma\u00dfen:<\/p>\n
\noffical repo) automatically installs apt configuration that adds
\nMicrosoft's apt repo to the system's package sources.<\/p>\n
\ncan easily inject malicious packages via regular update and replace
\ndistro packages w\/ their own manipulated ones.<\/p><\/blockquote>\n