Aplicatia Skype are un defect de securitate care poate permite atacatorilor să obțină privilegii de sistem pe toate computerele vulnerabile, a confirmat Microsoft.
Cu toate acestea, compania nu va remedia problema imediat, deoarece ar fi nevoie de o revizuire completă a codului pentru aplicatia Skype. Problema a fost descoperită de cercetătorul de securitate Stefan Kanthak, care spune că actualizarea Skype poate fi modificată în mod nefavorabil pentru a pacali o aplicație sa deseneze un cod incorect în locul bibliotecii potrivite.
Acest lucru l-ar lăsa pe un hacker să descarce un cod malitios și să-l pună într-un folder temporar accesibil utilizatorului, redenumind-l intr-un DLL existent care ar putea fi modificat de oricine fără privilegii de sistem. Potrivit lui Kanthak, odată ce accesul la sistem este acordat, un atacator „poate face orice”. Cu toate acestea, hackerul ar avea nevoie de acces fizic la computer pentru a face acest lucru.
Kanthak a luat legatura cu cei de la Microsoft si le-a scris despre aceasta vulnerabilitate – care ar putea permite hackerilor să fure fișiere, să ștearga date sau să ruleze ransomware – înca din luna septembrie, iar compania a recunoscut că o remediere pentru bug ar necesita o „revizuire a codului aplicatiei”.
Kanthak a spus că, deși Microsoft a reușit să rezolve această problemă, o remediere va ajunge doar „într-o versiune mai nouă a produsului, mai degrabă decât o actualizare de securitate”, implicarea fiind că problema patch-urilor ar necesita prea multă muncă. Microsoft a spus că pune „toate resursele” în construirea unui nou client pentru aplicatia Skype, dar nu a dezvăluit când urmeaza sa fie lansata aceasta noua versiune.
Un purtător de cuvânt al Microsoft a dat următoarea declarație: „Avem un angajament față de clienți de a investiga problemele de securitate raportate și de a actualiza în mod proactiv dispozitivele afectate cât mai curând posibil. Politica noastră standard este aceea că, în cazul problemelor cu risc scăzut, remediem acest risc prin programul nostru de actualizare ce are loc in fiecare marti”.