Эксперт по компьютерной безопасности Стефан Кантхак обнаружил в видеомессенджере Skype опасную ошибку, по вине которой злоумышленники могут получить полные права на доступ к системе.
Речь идет о DLL-атаке, суть которой заключается в том, чтобы заставить программу скачать библиотеку с вредоносным кодом.
По словам исследователя, хакеры могут подгрузить зараженную DDL во временную папку и переименовать библиотеку в файл с общим доступом (например, в UXTheme.dll), который может модифицировать любой пользователь без системных привилегий. Попав в систему, злоумышленник может «делать все что угодно» — правда, для этого ему потребуется иметь физический доступ к компьютеру. Помимо Windows-компьютеров, уязвимости также могут быть подвержены клиенты для macOS и Linux.
Кантхак уведомил Microsoft о «дыре» еще в сентябре прошлого года. Однако представители компании-разработчика ему сообщили, что для устранения ошибки потребуется провести «большую проверку кода», переписав программу фактически с нуля. Исправить уязвимость выпуском обычной «заплатки» не получится.
Патч будет включен «в новую версию продукта, а не в обновление безопасности». Компания, подчеркнули в Microsoft, направила «все ресурсы» на разработку новой версии Skype. Когда она будет выпущена, неизвестно.