Der Wiener Sicherheitsanbieter SEC Consult hat eine Schwachstelle entdeckt, die Denial-of-Service-Angriffe auf Skype for Business 2016 und Lync 2013 ermöglicht. Der Fehler tritt einer Pressemitteilung zufolge bei der Verarbeitung von Emoji auf – eine große Zahl der Piktogramme in Nachrichten macht die jeweilige Client-Anwendung des Empfängers unbrauchbar.
Schon ab 100 gesendeten Emoji soll die Client-Anwendung von Microsofts Messaging-Lösung spürbar langsamer reagieren. Wir die Zahl der Emoji pro Nachricht auf rund 800 erhöht, soll sich der Client für mehrere Sekunden gar nicht mehr bedienen lassen. „Solange der Sender weiterhin Emojis schickt, bleibt der Skype-Client unbenutzbar“, so das Unternehmen weiter.
Allerdings soll nur der Prozess für die grafische Benutzeroberfläche der Anwendung einfrieren. Da ein anderer Thread für die Audio- und Videowiedergabe verantwortlich sei, seien diese Funktionen nicht beeinträchtigt.
SEC Consult informierte Microsoft nach eigenen Angaben im Rahmen eines Responsible-Disclosure-Prozesses Anfang August über die Anfälligkeit. Einen Patch habe das US-Unternehmen am vergangenen Dienstag im Rahmen seines monatlichen Patchdays zur Verfügung gestellt.
Die Sicherheitsexperten aus Wien empfehlen, das Update für Skype for Business beziehungsweise Lync so schnell wie möglich einzuspielen. Viele Unternehmen müssten Patches vor dem Einsatz zuerst testen, einige verzichteten sogar generell auf die Installation solcher Fixes. „Das macht es Angreifern natürlich sehr leicht, bekannte Schwachstellen auszunutzen“, kommentierte Ulrich Fleck, CRO von SEC Consult.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
