CleanPress

Schlagwort: Skype

  • Skype für Debian kann Rechner gefährden

    Skype für Debian kann Rechner gefährden

    Der IT-Berater Enrico Weigelt hat ein Sicherheitsproblem bei der Installation von Microsofts Microsofts Skype-Paket für Debian und seine Derivate entdeckt. Das ermöglicht unter Umständen das Einschmuggeln von bösartigen Paketen bis hin zur kompletten Übernahme des Rechners.

    Ungefragter Eintrag

    Das Paket schreibt bei der Installation ungefragt den Eintrag https://repo.skype.com/deb stable main in die sources.list und ermöglicht damit die Aktualisierung des Pakets durch Microsoft. Das dabei entstehende Problem ist, dass Microsoft oder jemand, der den entsprechenden privaten Apt-Repository-Schlüssel hat, freie Hand hat, unbemerkt bösartige Pakete zu installieren.

    Canonical-Mitarbeiter Seth Arnold weist auf weiteres Gefahrenpotenzial hin, wenn er anmerkt, dass durch die Tatsache, dass viele an einer Paketinstallation unter Debian beteiligte Scripte mit vollen Root-Rechten laufen, Microsoft oder andere Dritte einen Rechner komplett übernehmen könnten.

    Nichts Neues

    Warum Weigelt jetzt das Skype-Paket als unsicher anmahnt, erschließt sich nicht ganz, denn das nicht tolerierbare ungefragte Eintragen in die Quellenliste bei der Installation von Drittanbieter-Paketen in Debian ist nichts Neues. Googles Browser Chrome tut das schon immer, ebenso wie Vivaldi und andere. Dass das nicht sein muss, zeigt Hersteller Opera, der während der Installation nachfragt, ob der Eintrag gewünscht ist.

    Reale Gefahr

    Ob man nun Google mehr vertraut als Microsoft oder anderen Softwareschmieden bleibt jedem selbst überlassen. Aber selbst wenn dort kein böser Wille unterstellt wird, wäre es nicht das erste Mal, dass böswillige Hacker sich Firmengeheimnisse beschaffen. Ich denke dabei etwa an die mit einer Backdoor versehenen gefälschten Images bei Mint Linux im Februar. Die Gefahr, die Weigelt hier beschreibt, ist also durchaus real.

    Schaden verhindern

    Er beschreibt deshalb einige Maßnahmen, um die Gefahr zu bannen. Dazu zählt das Entfernen des Eintrags aus der Quellenliste ebenso wie das Kompilieren des Pakets ohne die Routine zum Erstellen des Eintrags. Darüber hinaus lässt sich das Paket per Apt-Pinning darauf festnageln, lediglich skypeforlinux zu aktualisieren. Schließlich sieht Weigert noch die Möglichkeit, das Paket via Docker oder LXC in einen Container zu sperren.

    Abgeschottet

    Wenn Alternativen zu Skype nicht in Frage kommen, sehe die Installation von Skype per Flatpak als die bessere Lösung an, da hier die Anwendung bereits durch die Sandbox limitiert ist und beim Aktualisieren keine Möglichkeit besteht, Schaden außerhalb des Pakets anzurichten. Ubuntu-Anwender bevorzugen hier eventuell das Snap von Skype.

  • Skype auch unter Linux angreifbar

    Skype
    Logo: Microsoft Lizenz: Public Domain

     

    In den aktuellen Versionen des Instant-Messaging-Dienstes Skype für Linux, macOS und Windows schlummert eine Sicherheitslücke, die sich sowohl lokal als auch aus der Ferne ausnutzen lässt, um Systemrechte auf dem betroffenen Rechner zu erlangen. Die Lücke befindet sich im Updater der Anwendung. Das meldete jetzt die US-Webseite ZDNet.

    DLL Hijacking

    Der deutsche Sicherheitsforscher Stefan Kanthak fand heraus, dass unter Windows ein Angreifer per DLL-Hijacking dem Updater Schadcode anstelle der erwarteten DLL unterschieben kann. Damit kann ein System komplett übernommen werden. Dazu muss die DLL mit Schadcode in einem temporären Ordner liegen, auf den der User des Systems Zugriff hat und den Namen der erwarteten DLL haben. Beim Start der Anwendung wird dann die mit manipuliertem Code versehene DLL geladen und der Schadcode ausgeführt.

    Auch unter Linux und macOS

    Eine Abwandlung dieser Technik funktioniert auch unter macOS und  Linux, wo der dynamische Linker benutzt und über die Variable  LD_LIBRARY_PATH manipuliert wird. Kanthak hatte die Lücke bereits im vergangenen September an Microsoft gemeldet, das die Anwendung 2011 übernommen hatte. Nach Begutachtung des Bugs ließ der Konzern aus Redmond verlauten, man könne das Problem reproduzieren, die Lücke sei aber nicht im Rahmen eines regulären Sicherheitsupdates zu beheben, sondern bedürfe einer umfangreichen Code-Revision des zwar integrierten, aber als eigenständig ausführbare Datei ausgelegten Updaters.

    Daher wird die Lücke vermutlich erst mit einer neuen Version von Skype behoben. Wann diese erscheinen wird ist derzeit noch nicht bekannt. Skype war bereits 2017 von Sicherheitsproblemen geplagt. Dasmals wurde Malware durch In-App-Werbung eingeschleust, die zu Ransomware-Attacken führen konnte.