Критическая уязвимость в Skype заставила Microsoft капитально переделать весь код ПО

На цьому тижні видання ZDNet опублікував листування з незалежним експертом з комп’ютерної безпеки Штефаном Кантаком. Дослідник розповів про критичну уразливість в месенджері софтверного гіганта, яка відкриває широкі можливості зловмисникам, дозволяючи викрадати файли, видаляти дані і навіть захопити повний контроль над системою.

Дослідник повідомив компанію про уразливості ще у вересні минулого року. У Microsoft вада визнали, заявивши, що його усунення потребує «капітальної переробки коду». Багато тематичні джерела підняли галас і заявили, що Microsoft, прикриваючись необхідністю суттєвої переробки коду програми, вирішила не випускати окремих патч безпеки, а закрити діру з випуском наступної ключової версії.

Насправді уразливість вже закрита. Ще в жовтні минулого року вийшла восьма версія Skype для Windows, в якій ця вразливість була усунена. Про це на сайті підтримки повідомив менеджер по продуктам Skype Еллен Килборн. Справедливості заради відзначимо, що в версіях програми 7.40 і більш старих вада все ще присутня, так що противникам оновлень в цей раз все ж варто заглянути в налаштування і встановити апдейт.

Що стосується самої проблеми, відповідний експлоіт може використовувати механізм оновлення Skype для захоплення повного контролю над системою шляхом підміни оригінальних DLL бібліотек в тимчасовій папці %SYSTEMROOT% шкідливими і подальшим їх впровадженням у процеси виконувані від імені адміністратора.

Тобто, так, користувачів старих версій Skype краще на всяк випадок оновитися.

Джерело: Engadget, The Register і Microsoft