В Skype обнаружена уязвимость, позволяющая получить SYSTEM-привилегии, но патча

[alexsf]

В Skype обнаружена уязвимость, позволяющая получить SYSTEM-привилегии, но патча еще нет

Независимый ИБ-специалист Стивен Кантак (Stefan Kanthak) сообщил журналистам издания [Ссылки могут видеть только зарегистрированные пользователи. ] об опасной [Ссылки могут видеть только зарегистрированные пользователи. ], которую ему удалось выявить в Skype. Проблема касается процесса обновления приложения и позволяет атакующему получить SYSTEM-привилегии в системе, что фактически равняется полной компрометации устройства.

Кантак объясняет, что использованный им вектор атаки не нов – это обычное внедрение вредоносных DLL (DLL hijacking). Данная техника позволяет обмануть приложение, предложив ему малварь вместо легитимного файла DLL. Так, злоумышленник может загрузить вредоносный DLL во временную директорию, доступную с правами пользователя, а затем присвоить вредоносу имя реально существующего файла, к примеру, UXTheme.dll.



Skype имеет свой собственный механизм обновления (%ProgramFiles%\Skype\Updater\Updater.exe), и Кантак обнаружил, что во время его работы приложение задействует исполняемый файл, который уязвим перед вышеописанным вектором атак. Хуже того, специалист заверил журналистов, что уязвимость представляет угрозу не только для Windows, и похожий вектор атак можно использовать против [Ссылки могут видеть только зарегистрированные пользователи. ] и Linux.

Однако основанная проблема заключается в том, что Кантак уведомил компанию Microsoft о проблеме еще в сентябре 2017 года. Исследователю ответили, что специалистам Microsoft удалось воспроизвести баг, однако для его устранения потребуется слишком серьезная переработка кода приложения, и поэтому патч появится только «в составе новой версии продукта, а не в формате обновления безопасности». Фактически разработчики признали, что следует ожидать релиза нового клиента, но не патч для клиента текущего.

[Ссылки могут видеть только зарегистрированные пользователи. ]

[pohy]

возможно паранойя,но приходится убивать процесс  SkypeHost.exe(2)
SkypeHost.exe
в автозагрузке нет

[alexsf]

Сложно сказать, у меня он поднят по умолчанию всегда

[plaleksey]

А у меня ватсапп и вибер... Все приглашены из скайпа. Скайп вчерашний день...  Он есть .. но я им редко пользуюсь..

Опять Microsoft...   Это уже серьёзно

Кантак уведомил компанию Microsoft о проблеме еще в сентябре 2017 года. Исследователю ответили, что специалистам Microsoft удалось воспроизвести баг, однако для его устранения потребуется слишком серьезная переработка кода приложения, и поэтому патч появится только «в составе новой версии продукта, а не в формате обновления безопасности». Фактически разработчики признали, что следует ожидать релиза нового клиента, но не патч для клиента текущего.