Dieser Fehler bedroht Macs und PCs – aber Microsoft kann nichts dagegen tun

Florian Matthey 4

Skype hat eine massive Sicherheitslücke, die Angreifern einen weitreichenden Zugriff auf euren Mac oder PC geben könnte. Doch Microsoft will zunächst nichts dagegen tun – weil das Schließen der Lücke zu aufwendig ist.

Dieser Fehler bedroht Macs und PCs – aber Microsoft kann nichts dagegen tun

Skype-Update-Funktion mit massiver Sicherheitslücke

Sicherheitsexperten haben in der Auto-Update-Funktion von Skype eine kritische Sicherheitslücke entdeckt – die alle Versionen für Mac, Windows und Linux betrifft. Die Funktion lässt sich mit einer sogenannten „DLL Hijacking“-Technik angreifen. Das bedeutet, dass sich die Software so austricksen lässt, dass sie statt einer regulären neuen Version von Skype eine solche installiert, die die Angreifer mit Malware versehen haben.

Diese kann dann mit den Zugriffsrechten des Benutzers Veränderungen am System vornehmen – also Daten auslesen oder dann, wenn der Benutzer Administratoren-Rechte hat, auch Daten löschen oder verschlüsseln. Letzteres ist eine beliebte Methode der „Ransomware“-Angriffe, die Benutzer dazu auffordern, Geld zu bezahlen, sodass sie wieder an ihre Daten kommen „dürfen“.

Den Sicherheitsexperten zufolge ist es auf diesem Wege aber sogar möglich, einen Angriff mit den Benutzerrechten des Systemkontos von Windows zu starten, die über die des Administratoren-Kontos sogar noch hinausgehen. Ob dies auch bei Linux- oder macOS-Rechnern möglich ist – ob über den Skype-Updater also sogar root-Zugriffsrechte denkbar sind – ist unklar; wahrscheinlich dürfte das aber nicht der Fall sein.

Microsoft kann – oder will? – erst einmal nichts machen

Schon im September letzten Jahres haben sich die Entdecker der Sicherheitslücke an Microsoft gewendet, um auf das Problem aufmerksam zu machen – bekanntlich ist Skype eine Microsoft-Tochter. Normalerweise werden solche Sicherheitslücken auch schnell geschlossen. Microsoft hat aber erklärt, dass ein Schließen der Sicherheitslücke zu aufwendig sei, um schnell reagieren zu können.

Stattdessen müsste das Unternehmen die Auto-Update-Funktion komplett neu programmieren, um entsprechende Angriffe verhindern zu können. Das Unternehmen verspricht, alle Ressourcen dafür bereitgestellt zu haben – verrät aber nicht, wann mit einer entsprechenden neuen Version zu rechnen ist.

Eigentlich sollte man meinen, dass ein Unternehmen wie Microsoft auch eine komplette Neuprogrammierung einer Funktion binnen fünf Monaten hinbekommen kann. Oder was meint ihr?

Quelle: ZDNet via 9to5Mac

* gesponsorter Link