Большая ошибка в коде заставила Microsoft перестроить Skype для Windows

14.02.2018 17:12 45

Большая ошибка в коде заставила Microsoft перестроить Skype для Windows

Корпорация Майкрософт подтвердила, что Skype имеет недостаток в безопасности, что позволяет злоумышленникам получить привилегии на системном уровне для уязвимых компьютеров. Тем не менее, компания не решит проблему сразу, потому что для этого потребуется полная проверка кода. Обнаруженная ошибка исследователем безопасности Стефаном Кантхаки, который говорит, что обновление Skype может быть подвергнуто сомнению, чтобы обмануть приложение для рисования неправильного кода вместо правильной библиотеки.

Это позволит хакеру загружать вредоносный код и помещать его в пользовательскую временную папку, переименовывая ее в существующую DLL, которая может быть изменена любым без системных привилегий. По словам Кантхака, когда доступ к системе предоставляется, злоумышленник «может сделать что угодно». Однако для этого хакер потребует физического доступа к компьютеру.

Кантхак рассказал Microsoft об этой уязвимости, которая позволила хакерам похищать файлы, удалять данные или запускать ransomware - еще в сентябре, и компания признала, что исправление потребует «большой ревизии кода». Выступая перед ZDNet, Кантхак сказал, что даже несмотря на то, что Microsoft смогла воспроизвести проблему, исправление поступит только «в более новую версию продукта, а не в обновление безопасности», что подразумевает, что исправление проблемы потребует слишком большой работы. Microsoft заявила, что она помещает «все ресурсы» в создание нового клиента, но не обнаружила, когда это может произойти.

Представитель Microsoft дал следующее заявление. «У нас есть приверженность клиентов исследовать сообщаемые проблемы безопасности и как можно скорее обновить уязвимые устройства. Наша стандартная политика заключается в том, что по вопросам низкого риска мы устраняем этот риск через наш график обновлений во вторник».