Microsoft доведеться переписати месенджер Skype

Помилки в процесі оновлення Skype можуть дозволити зловмиснику отримати доступ до уразливого комп'ютера на системному рівні, повідомляє Depo.ua з посиланням на Новое время.

Дослідник з безпеки Стефан Кантхак виявив уразливість ще у вересні 2017 року. Але представники компанії Microsoft, яка володіє сервісом Skype, заявили, що вони не відразу виправлять недолік, тому що помилка потребує занадто багато роботи.

Йдеться про DLL-атаку, суть якої полягає в тому, щоб змусити програму завантажити бібліотеку зі шкідливим кодом. У цьому разі для запуску оновлення буде використовуватися уразливий файл. Баг спрацьовує тому, що шкідливу DLL-бібліотеку встановник оновлень знаходить раніше, ніж правильну.

Потрапивши до системи, зловмисник може "робити все що завгодно" - щоправда, для цього йому потрібно мати фізичний доступ до комп'ютера. Проблема дозволяє хакерам впроваджувати шкідливий код у систему і отримувати доступ до комп'ютера жертви з правами системного рівня, в тому числі красти файли, видаляти дані і запускати вимагачі.

Компанія Microsoft повідомила Кантхаку, що навіть незважаючи на те, що інженери "змогли відтворити проблему", виправлення увійде "в новішу версію продукту, а не в оновлення безпеки". Замість цього компанія заявила, що вона кинула "всі ресурси" на створення абсолютно нового клієнта Skype.

Крім Windows-комп'ютерів, до уразливості також можуть бути схильні до клієнти для macOS і Linux. Водночас вразливість названа "небезпечною", а не "критичною". Це може означати, що скористатися цією проблемою складніше, ніж вважає Кантхак.