В Skype обнаружена серьезная уязвимость, но Microsoft не намерена выпускать патч

13 февраля

Исследователь безопасности Стефан Кантак (Stefan Kanthak) обнаружил уязвимость в механизме обновления online-мессенджера Skype, позволяющую повысить права пользователя до уровня SYSTEM и таким образом получить полный доступ к уязвимому устройству.

Как пояснил Кантак в беседе с журналистами издания ZDNet, проблему можно проэксплуатировать с помощью метода подмены DLL-библиотек, что позволит атакующему обмануть установщик обновлений и «подсунуть» вредоносный код вместо правильной библиотеки. Злоумышленник может загрузить вредоносную библиотеку во временную папку и переименовать ее в соответствии с существующей DLL-библиотекой, которая может быть модифицирована непривилегированным пользователем, например, UXTheme.dll. Проблема заключается в том, что в процессе поиска приложением нужной библиотеки первой обнаруживается вредоносная библиотека. Получив полный доступ к системе, злоумышленник может выполнять различные действия, к примеру, похитить файлы, удалить данные или инфицировать устройство вымогательским ПО.

Кантак сообщил Microsoft об уязвимости в сентябре прошлого года, однако в компании заявили, что выпуск исправления потребует «пересмотра значительной части кода», поэтому уязвимость будет устранена уже в новой версии клиента.


Другие новости

16 ноября

Федеральная налоговая служба сообщила, когда предприниматели на ЕНВД смогут использовать новую форму налоговой декларации для оформления вычета за покупку кассовой техники.

23 октября

Нарушители будут привлекаться к дисциплинарной ответственности, а контрактники — досрочно уволены.

23 октября

Лига безопасного интернета предложила ввести ответственность для соцсетей и поисковиков за запрещенный контент.

23 октября

В некоторых случаях затраты на мобильный интернет достигают $385.