Microsoft: Kæmpe Skype-sårbarhed har været fikset siden oktober

Illustration: Skype
It-kæmpen har slettet ældre Skype-versioner fra sin hjemmeside.

Den omfattende svaghed i Skype, som en sikkerhedsforsker offentliggjorde tidligere på ugen, blev rettet i den seneste version af softwaren siden oktober.

Det skriver The Register med henvisning til en opdatering fra Skypes Ellen Kilbourne i Microsofts support-forum.

Læs også: Gigantisk svaghed i Skype - kaldes 'umulig' at fikse

Svagheden, som Microsoft har anerkendt, gav uvedkommende adgang til alle dele af operativsystemet, og blev tidligere på ugen omtalt på adskillige tech-sites - herunder Version2. Men fejlen er altså fjernet fra Skype i version 8, der blev offentliggjort i oktober.

Sikkerhedsforsker Stefan Kanthak opdagede fejlen i september og kontaktede Microsoft. I oktober fik han at vide, at en rettelse ville kræve en stor revision af koden.

I denne måned gik Stefan Kanthak ud offentligt med fejlen i den tro, at Microsoft ikke havde rettet den. I stedet var det Kanthaks indtryk, at det ville tage lang tid – hvilket svaret fra Microsoft da også antyder:

»The engineers provided me with an update on this case. They've reviewed the code and were able to reproduce the issue, but have determined that the fix will be implemented in a newer version of the product rather than a security update.«

Læs også: Microsoft bygger end-to-end-kryptering ind i Skype med Signal-protokol

Skype 8 blev frigivet få dage efter Microsoft sendte svaret til Kanthak.

Ifølge Ellen Kilbourne har fejlen ligget i en installer til Skype 7.40 og ældre udgaver. Hvis man allerede har anvendt installeren til at installere Skype, er man angiveligt ikke ramt af fejlen.

De gamle installere er blevet fjernet fra Microsofts hjemmeside.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Joe Sørensen

Skype version 8.15.0.4 kan installeres via software center i Ubuntu og er i øjeblikket featured i den øverste bjælke inde i programmet. Om ikke andet, så er den featured hos mig. Skype til Linux er identisk med Skype til Mac og virker som man forventer. Der kan være problemer med skærmdeling. Det kommer an på dit grafik kort, men opkald virker. Og online status i Skype har vidst altid haft sit eget liv.

Jeg kan forstå at nyheden kom forkert ud, fordi Microsoft aldrig har kontaktet Stefan Kanthak og opdateret ham. En lidt typisk support fejl. Det burde de helt klart har gjort. Ellers kan Stefan jo kun gå ud fra at fejlen stadig er der.

Tænk hvis Microsoft stadig ikke havde været i stand til at løse problemet. I så fald havde Skype været bandlyst af min virksomheds sikkerhedspolitik.

Joe Sørensen

Det erikke Skype for Business men consumer versionen der er ramt


Det kan være at jeg lige skal uddybe.

Vi har ikke licens til Skype for business og jeg tvivler på at nogen PCer har det installeret. Programmet er tilladt, hvis en kunde forlanger det og de også leverer licensen. Det har jeg ikke hørt om sker med Skype, det gør vi med meget andet konference software. Det er ikke her bekymringen ligger. Alt er godt.

Til gengæld tror jeg at Skype er installeret på samtlige PCer, macs og de fleste telefoner. Både virksomhedens egne og andre computere på netværket. Dette er også tilladt, hvis den holdes opdateret og computeren kører vores antivirus program, som netop kontrollerer at alle programmer opdaterer.

Vi tillader dog ikke brug af abandonware, hvor producenten ikke længere er klar til at rette sikkerhedsfejl der findes i deres produkt. Sådanne programmer må ikke engang være installeret på medbragte computere eller mobiltelefoner. Så vi kan Fx ikke tage en Windows Vista maskine med på arbejde længere.

Jeg var oprigtig bekymret for at Skype ville komme på den liste også.
Det bliver ikke en rar dag på kontoret, hvis jeg skal fortælle alle ( og de fleste flere gange ) at Skype nu er forbudt pga. uforståelige regler vi forsøger at få leverandører til at overholde. Jeg bryder mig ikke om det program, men mange andre gør. Jeg tror nogen vil blive aggressive eller forsøge at omgå reglerne.

Log ind eller Opret konto for at kommentere