Сериозен бъг принуди Microsoft да пренапише голяма част от Skype за Windows

Мicrosoft пренаписва голяма част от Skype, след като бе открит сериозен пропуск в сигурността на приложението, който не може да бъде отстранен с обикновен ъпдейт. През последните дни стана ясно, че този бъг може да позволи на хакери да осигурят пълни административни права на обикновените потребителски акаунти в атакуваните компютри. Сериозният пропуск бе открит от изследователя Стивън Кантак, който обясни, че системата за обновяване на приложението може да бъде подлъгана да зареди модифицирана програмна библиотека вместо оригиналната. Атакуващият може да запази този DLL файл във временната папка в компютъра и да го преименува като съществуваща библиотека.

Инсталаторът на Skype ще зареди променения файл и така може да осигури на обикновения потребителски акаунт пълен системен достъп до машината, така че хакерът може да прави с нея каквото си поиска. Атаката работи, защото модифицираният файл се намира първо, когато приложението търси необходимите му файлове във временната папка. Кантак е уведомил Microsoft за проблема още през септември, а компанията от Редмънд е признала, че отстраняването му ще изисква пренаписване на голяма част от системата за обновяване на Skype. Именно поради това за момента не е пусната и съответната поправка на сигурността, а проблемът ще бъде отстранен в нова версия на софтуера.

Източник: ZDNet, Engadget