Критическая уязвимость в Skype заставила Microsoft капитально переделать весь код ПО
На этой неделе издание ZDNet опубликовало переписку с независимым экспертом по ..., На этой неделе издание ZDNet опубликовало переписку с независимым экспертом по компьютерной безопасностиНа этой неделе издание ZDNet опубликовало переписку с независимым экспертом по компьютерной безопасности Штефаном Кантаком. Исследователь рассказал о критической уязвимости в мессенджере софтверного гиганта, которая открывает широкие возможности злоумышленникам, позволяя похищать файлы, удалять данные и даже захватить полный контроль над системой.
Исследователь сообщил компании об уязвимости еще в сентябре прошлого года. В Microsoft изъян признали, заявив, что его устранение потребует «капитальной переделки кода». Многие тематические источники подняли шумиху и заявили, что Microsoft, прикрываясь необходимостью существенной переработки кода приложения, решила не выпускать отдельных патч безопасности, а закрыть дыру с выпуском следующей ключевой версии ПО.
На самом деле уязвимость уже закрыта. Еще в октябре прошлого года вышла восьмая версия Skype для Windows, в которой эта уязвимость была устранена. Об этом на сайте поддержки сообщил менеджер по продуктам Skype Эллен Килборн. Справедливости ради отметим, что в версиях приложения 7.40 и более старых изъян все еще присутствует, так что противникам обновлений в этот раз все же стоит заглянуть в настройки и установить апдейт.
Что касается самой уязвимости, соответствующий эксплоит может использовать механизм обновления Skype для захвата полного контроля над системой путем подмены оригинальных DLL библиотек во временной папке %SYSTEMROOT% вредоносными и последующим их внедрением в процессы исполняемые от имени администратора.
То есть, да, пользователям старых версий Skype лучше на всякий случай обновиться.
Источник: Engadget, The Register и Microsoft
Также по теме: