Gadgetshowto
En ny feil har blitt oppdaget i Skypes oppdaterer, som potensielt kan tillate hackere å få full tilgang til en brukers system. Først rapportert av sikkerhetsekspert Stefan Kanthak på Seclists.org, kan feilen utnyttes for å få ubegrenset tilgang til alle deler av operativsystemet..
I følge Kanthak:
"Når Skype er installert, bruker den sin egen proprietære oppdateringsmekanisme i stedet for Windows / Microsoft Update ... [Fordi] Skype kjører med jevne mellomrom '% ProgramFile% \ Skype \ Updater \ Updater.exe' under SYSTEM-kontoen, når en oppdatering er tilgjengelig, [ ] Updater.exe kopierer / trekker ut en annen kjørbar som '% SystemRoot% \ Temp \ SKY
.tmp ”/ STIL”. ”
Kanthak fortsetter med å forklare at det er på grunn av den nevnte kjørbare filen at oppdatereren er sårbar. Hackere kan bruke DLL highjacking da den kjørbare filen laster minst en DLL-fil kalt 'UXTheme.dll' fra programkatalogen i stedet for å laste den fra Windows-systemkatalogen..
Hvis en lokal bruker er i stand til å plassere UXTheme.dll eller noen av de andre DLL-ene som er lastet inn av den sårbare kjørbare filen, vil brukeren kunne få tilgang til SYSTEM-kontoen. Microsoft har allerede gitt ut måter å unngå sårbarheten, men Kanthak hevder at selskapets utviklere ser ut til å ignorere problemet.
Kanthak legger til at han varslet Microsoft om feilen i september, men selskapet har ikke gitt ut en løsning. I følge Seclists rapporterte tidslinje for feilen, forventes Microsoft å gi ut en løsning i en nyere versjon av Skype, i stedet for å rulle ut en dedikert sikkerhetsoppdatering, da sistnevnte alternativ ville være for omhyggelig med å gi selskapets utviklingssyklus.
