Gå til innhold

Gigantisk svakhet avdekket i Skype - anses som «umulig» å fikse: – Får admin-tilgang på steroider


Anbefalte innlegg

Videoannonse
Annonse

Nå klarer jeg ikke umiddelbart å finne informasjon noe sted om at denne feilen berører Skype for Business - som jo er et helt annet program, med oppdateringsfunksjoner som hånedteres gjennom Office/Windows-update?

 

Noe som i så fall gjør mer enn halve artikkelen direkte misvisende, hvis ikke fullstendig feilaktig?

  • Liker 3
Lenke til kommentar

Jeg tok også en titt på artikkelen fra zdnet, men de skriver også bare Skype.. Er feilen i Skype eller Skype for business (lync)? Eller har Microsoft ødelagt Skype helt med å putte inn lync kode i Skype også... Android appen er helt ødelagt til Skype i hvert fall. Er jo ikke lenger mulig å legge til kontakter eller godkjenne venneforespørsel..

Lenke til kommentar

Jeg tok også en titt på artikkelen fra zdnet, men de skriver også bare Skype.. Er feilen i Skype eller Skype for business (lync)?

 

Mulig at Digo.no har oppdatert artikkelen siden dere kommenterte på den. Men nå står det ihvertfall: "Skype for bedrifter skal ikke være påvirket av sikkerhetshullet."

  • Liker 4
Lenke til kommentar
Gjest Slettet+987123849734

Hva er poenget å ta med informasjonen om kommunene som het åpenbart bruker skype for business som ikke er berørt av denne feilen? Det skaper bare forvirring og har jo ingen relevans her.

Lenke til kommentar

 

Jeg tok også en titt på artikkelen fra zdnet, men de skriver også bare Skype.. Er feilen i Skype eller Skype for business (lync)?

Mulig at Digo.no har oppdatert artikkelen siden dere kommenterte på den. Men nå står det ihvertfall: "Skype for bedrifter skal ikke være påvirket av sikkerhetshullet."

 

Relativt sikker på at digi har oppdatert artikkelen i etterkant.

 

Hva er poenget å ta med informasjonen om kommunene som het åpenbart bruker skype for business som ikke er berørt av denne feilen? Det skaper bare forvirring og har jo ingen relevans her.

Relativt sikker på at digi først ikke hadde fått med seg at det ikke gjelder Skype for business (lync), men vanlig Skype.

 

I bug-rapporten http://seclists.org/fulldisclosure/2018/Feb/33 står det filplassering av programfila og det er vanlig Skype sin filplassering og ikke Lync.

  • Liker 1
Lenke til kommentar
Gjest Slettet-OvFPdyiZ

 

Hva er poenget å ta med informasjonen om kommunene som het åpenbart bruker skype for business som ikke er berørt av denne feilen? Det skaper bare forvirring og har jo ingen relevans her.

Relativt sikker på at digi først ikke hadde fått med seg at det ikke gjelder Skype for business (lync), men vanlig Skype.
Da har de ikke lest sin egen artikkel, for i sitatene fra Stavanger Kommune står det spesifikt Skype for bedrifter (en betegnelse som også er egnet til å skape forvirring, all den tid produktet heter Skype for Business, særnavn, ikke det oversettbare "Skype for business". De skriver jo f.eks ikke iTelefon...).
Lenke til kommentar
Gjest Slettet+987123849734

Dette er ikke en gigantisk svakhet. For å utnytte den må en lure en DLL-fil inn i en katalog og så få kjørt oppdateringsprogrammet med "working-katalog" til katalogen med DDLen i. Ikke akkurat trivielt å utnytte..

 

Dette har jo vært en standard windows sårbarhet i årevis. Jeg har selv lagd "proxy dll'er" for å endre funksjonalitet i programmer. Bare å putte Dll'en i samme mappe som applikasjonen og når applikasjonen kaller windows funksjoner fra windows dll'er, så vil(le) den laste disse fra dll filen hvis den finnes i samme mappe som applikasjonen.

 

Dette er vel pr nå ikke lengre mulig, da windows ikke lengre vil forsøke å laste windows dll filer fra andre steder enn windows mappene.

Lenke til kommentar

(...) i sitatene fra Stavanger Kommune står det spesifikt Skype for bedrifter (en betegnelse som også er egnet til å skape forvirring, all den tid produktet heter Skype for Business, særnavn, ikke det oversettbare "Skype for business". De skriver jo f.eks ikke iTelefon...).

Om betegnelsen «Skype for bedrifter» er egnet til å skape forvirring så er ihvertfall ikke Digi alene om det. På Microsofts egne nettsider finner du den brukt i tittellinjen:

<title> Skype for bedrifter – Spar penger, hold kontakten og arbeid på en smartere måte med Skype </title>
Lenke til kommentar

OK TU, så "Skype for bedrifter skal ikke være påvirket av sikkerhetshullet."... Hvorfor er da det neste dere gjør å skrive en avhandling om noen som ikke er berørt av problemet og det som reinspikka reklame? Ikke interessant i det hele tatt å høre om kommunenes 10000 ansatte når det er folk som bruker vanlig skype som trenger informasjon om hvordan man skal forholde seg til problemet.

 

Slik slår du av automatisk oppdatering, for den som måtte ønske det, intill ny klient er på plass:

https://support.skype.com/en/faq/FA12096/how-do-i-turn-off-automatic-updates-in-skype-for-windows-desktop

 

.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...