lans.by

В Skype нашли серьезную уязвимость, которую Microsoft не торопится устранять

Эксперт по компьютерной безопасности Стефан Кантхак обнаружил в видеомессенджере Skype опасную ошибку, по вине которой злоумышленники могут получить полные права на доступ к системе.

Речь идет о DLL-атаке, суть которой заключается в том, чтобы заставить программу скачать библиотеку с вредоносным кодом.

По словам исследователя, хакеры могут подгрузить зараженную DDL во временную папку и переименовать библиотеку в файл с общим доступом (например, в UXTheme.dll), который может модифицировать любой пользователь без системных привилегий. Попав в систему, злоумышленник может «делать все что угодно» — правда, для этого ему потребуется иметь физический доступ к компьютеру. Помимо Windows-компьютеров, уязвимости также могут быть подвержены клиенты для macOS и Linux.

Кантхак уведомил Microsoft о «дыре» еще в сентябре прошлого года. Однако представители компании-разработчика ему сообщили, что для устранения ошибки потребуется провести «большую проверку кода», переписав программу фактически с нуля. Исправить уязвимость выпуском обычной «заплатки» не получится.

Патч будет включен «в новую версию продукта, а не в обновление безопасности». Компания, подчеркнули в Microsoft, направила «все ресурсы» на разработку новой версии Skype. Когда она будет выпущена, неизвестно.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *