Светлана Хачатурян

Microsoft не может исправить баг, позволяющий злоумышленникам внедрять вредоносный код через обработчик обновлений Skype

Обнаруженный в сентябре 2017 года баг в процессоре загрузки Skype оказался настолько масштабным, что Microsoft не смогла выпустить специализированный патч. Компания «прилагает все усилия» для скорейшего написания нового клиента для ПК.

2972

Исследователь Стефан Кантак (Stefan Kanthak) еще в сентябре обнаружил уязвимость в механизме обновлений Skype, позволяющую хакерам внедрять вредоносный код в систему методом внедрения DLL.

Особенность атаки

Злоумышленник может загрузить зловредный DLL-файл во временную папку и присвоить ему имя одной из уже имеющихся библиотек. Процесс обновления Skype, считывая содержимое папки, в первую очередь видит чужой файл и забирает его на обработку.

Грамотно составленная зловредная библиотека может предоставить хакеру полный низкоуровневый доступ к операционной системе на скомпрометированном устройстве. Эксперт отмечает, что под угрозой находятся не только ПК на ОС Windows: пользователи компьютеров на macOS и Linux также не защищены.

Несмотря на опасность найденного бага, далеко не все смогут его полноценно эксплуатировать. Поскольку Skype обычно запускается пользователем с обычными правами, злоумышленнику, вероятнее всего, не удастся добраться до низкоуровневых системных структур.

Что делать?

Microsoft предлагает варианты защиты от уязвимости, реализуемые вручную. Компания пока не готова выпустить полноценный автоматизированный патч, так как для этого нужно переписать объемную часть исходного кода программы. Вероятнее всего, разработчик выпустит новый, полностью переписанный клиент Skype для ПК.

Следите за новыми постами по любимым темам

Подпишитесь на интересующие вас теги, чтобы следить за новыми постами и быть в курсе событий.

Безопасность
Microsoft
Skype
2972
Что думаете?
0 комментариев
Сначала интересные
Курсы
набор еще идетонлайн7590₽
набор еще идетонлайнбесплатно
набор еще идетонлайнбесплатно
набор еще идетонлайн2790₽
Все курсы