Microsofts Telefonieprogramm Skype hatte es eine Sicherheitslücke (Zero Day Exploit), die eine Remote Code Execution ermöglichte und jetzt durch Microsoft per Skype-Update geschlossen wurde.
Anzeige
Benjamin Kunz Mejri von Vulnerability Lab hat diese Sicherheitslücke aufgedeckt und öffentlich gemacht. Die Sicherheitslücke CVE-2017-9948 ermöglicht einen Stacküberlauf, der eine Remote Code Execution ausnutzbar macht, unter Windows8 (x86). Die Zero Day-Lücke betrifft die Skype-Versionen 7.2, 7.35 und 7.36.
Die Sicherheitslücke wurde mit 7,2 (von 10) recht hoch eingestuft, weil sie einen Absturz des Skype-Programms mit unabsehbaren Folgen ermöglichte. Das Problem bestand wohl in der Datei MSFTEDIT.DLL. Im Sicherheitsteam hat man eine Bilddatei aus der Zwischenablage in das Skype-Fenster kopiert, die die Grenzen für einen Übertragung oder den Ausdruck übersteigt. Das führte zu einem Skype-Stacküberlauf samt Absturz. Die Angriffe lassen sich laut Mejri lokal und remote (z.B. per RDP-Sitzung) ausnutzen.
Microsoft wurde am 16. Mai 2017 über den Fehler informiert. Ein Patch für Skype wurde am 8. Juni 2017 in Form von Skype Version 7.37.0.178 bereitgestellt. Wer Skype unter Windows verwendet, solle schauen, ob eine aktualisierte Version verfügbar ist (geht über Hilfe –> Auf Aktualisierungen prüfen). (via)
2015
Wen das mal so einfach wäre…..
Bei mir sagt die "Hilfe" es läuft die 7.37.0.103 und die Aktualisierung meint "Sie haben bereits die neuste Version"
Wie bitte soll der "ungeübte" Nutzer seine Software aktualisieren wenn selbst MS keine neue Version anbietet :-(
Hast Du denn Windows 8? Bei mir unter Windows 7 ist die gleiche Client-Version – die ist aber wohl nicht verwundbar.
Habe auch 7.37.0.103 unter Windows 10, ich nutze den 'normalen'/klassischen Skype, das App-Geblödel mache ich nicht, deswegen ist der Skype für Win 10 bei mir aussen vor.