Эксперт по компьютерной безопасности Стефан Кантхак обнаружил в видеомессенджере Skype опасную ошибку, по вине которой злоумышленники могут получить полные права на доступ к системе.
Речь идет о DLL-атаке, суть которой заключается в том, чтобы заставить программу скачать библиотеку с вредоносным кодом.
По словам исследователя, хакеры могут подгрузить зараженную DDL во временную папку и переименовать библиотеку в файл с общим доступом (например, в UXTheme.dll), который может модифицировать любой пользователь без системных привилегий. Попав в систему, злоумышленник может “делать все что угодно” — правда, для этого ему потребуется иметь физический доступ к компьютеру. Помимо Windows-компьютеров, уязвимости также могут быть подвержены клиенты для macOS и Linux.
Кантхак уведомил Microsoft о “дыре” еще в сентябре прошлого года. Однако представители компании-разработчика ему сообщили, что для устранения ошибки потребуется провести “большую проверку кода”, переписав программу фактически с нуля. Исправить уязвимость выпуском обычной “заплатки” не получится.
Патч будет включен “в новую версию продукта, а не в обновление безопасности”. Компания, подчеркнули в Microsoft, направила “все ресурсы” на разработку новой версии Skype. Когда она будет выпущена, неизвестно.