Gadgetshowto
En ny fejl er blevet opdaget i Skypes opdatering, som potentielt kan give hackere adgang til fuldstændig adgang til en brugers system. Først rapporteret af sikkerhedsekspert Stefan Kanthak på Seclists.org kan fejlen udnyttes til at få ubegrænset adgang til alle dele af operativsystemet..
Ifølge Kanthak:
“Når Skype er installeret, bruger den sin egen beskyttede opdateringsmekanisme i stedet for Windows / Microsoft Update ... [Fordi] Skype kører periodisk '% ProgramFile% \ Skype \ Updater \ Updater.exe' under SYSTEM-kontoen, når en opdatering er tilgængelig, [ ] Updater.exe kopierer / udpakker en anden eksekverbar fil som '% SystemRoot% \ Temp \ SKY
.tmp ”/ STIL”. ”
Kanthak fortsætter med at forklare, at det er på grund af den førnævnte eksekverbare, at opdatereren er sårbar. Hackere kan bruge DLL highjacking, da den eksekverbare indlæser mindst en DLL-fil kaldet 'UXTheme.dll' fra dens applikationsmappe i stedet for at indlæse den fra Windows systemkatalog.
Hvis en lokal bruger er i stand til at placere UXTheme.dll eller nogen af de andre DLL'er, der er indlæst af den sårbare eksekverbare, vil brugeren være i stand til at få adgang til SYSTEM-kontoen. Microsoft har allerede frigivet måder at undgå sårbarheden, men Kanthak hævder, at virksomhedens udviklere ser ud til at ignorere problemet.
Kanthak tilføjer, at han advarede Microsoft om fejlen tilbage i september, men virksomheden har ikke frigivet en løsning. Ifølge Seclists 'rapporterede tidslinje for fejlen forventes Microsoft at frigive en rettelse i en nyere version af Skype i stedet for at udrulle en dedikeret sikkerhedsopdatering, da den sidstnævnte mulighed ville være for omhyggelig ved at give virksomhedens udviklingscyklus.
