Microsoft решила не исправлять серьезную уязвимость в Skype

Исследователь безопасности Стефан Кантак (Stefan Kanthak) еще в прошлом году обнаружил в Skype серьезную уязвимость, которая может дать злоумышленнику полный контроль над операционной системой Windows. Он сообщил о найденной проблеме еще в сентябре, но Microsoft отказалась ее исправлять.
Итак проблема заключается в том, что обновление Skype происходит через запуск другого процесса. Используя этот подход, злоумышленник может подменить запускаемый DLL на зловредный, на это не требуется привилегий, таким образом можно скачать и установить не обновления для Skype, а необходимое зловредное ПО.
Стефан сообщил, что и другие операционные системы, а именно macOS и Linux могут быть подвержены такой атаке через Skype. На текущий момент проблема не исправлена, Microsoft сообщает, что исправление этой уязвимости потребует переписать большое количество кода приложения и поэтому не считает это возможным. Сейчас компания занята созданием новой версии клиента и в ней уязвимость будет исправлена. Пока о случаях реальной эксплуатации уязвимости ничего не сообщается.

Также по теме: