Ошибки в процессе обновления Skype могут позволить злоумышленнику получить доступ к уязвимому компьютеру на системном уровне, сообщает ZDNet.
Исследователь по безопасности Стефан Кантхак обнаружил уязвимость еще в сентябре 2017 года. Но представители компании Microsoft, которая владеет сервисом Skype, заявили, что они не сразу исправят недостаток, потому что ошибка потребует слишком много работы.
Речь идет о DLL-атаке, суть которой заключается в том, чтобы заставить программу скачать библиотеку с вредоносным кодом. В таком случае для запуска обновления будет использоваться уязвимый файл. Баг срабатывает потому, что вредоносную DLL-библиотеку установщик обновлений находит раньше, чем правильную.
Попав в систему, злоумышленник может "делать все что угодно" — правда, для этого ему потребуется иметь физический доступ к компьютеру. Проблема позволяет хакерам внедрять вредоносный код в систему и получать доступ к компьютеру жертвы с правами системного уровня, в том числе, воровать файлы, удалять данные и запускать вымогатели.
Компания Microsoft сообщила Кантхаку, что даже несмотря на то, что инженеры "смогли воспроизвести проблему", исправление войдет "в более новую версию продукта, а не в обновление безопасности". Вместо этого компания заявила, что она бросила "все ресурсы" на создание совершенно нового клиента Skype.
Помимо Windows-компьютеров, уязвимости также могут быть подвержены клиенты для macOS и Linux. В то же время уязвимость названа "опасной", а не "критической". Это может означать, что воспользоваться этой проблемой сложнее, чем полагает Кантхак.