Una falla di sicurezza in Skype può consentire a un utente malintenzionato di ottenere privilegi a livello di sistema nei PC
2 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
Ieri è stata rivelata una nuova vulnerabilità di sicurezza in Skype per desktop Windows. L'app desktop Skype viene fornita con il proprio strumento di aggiornamento che viene eseguito periodicamente per mantenere aggiornata l'app Skype. Quando è disponibile un aggiornamento, lo strumento Updater copia/estrae un altro eseguibile come "%SystemRoot%\Temp\SKY.tmp" e lo esegue utilizzando la riga di comando
"%SystemRoot%\Temp\SKY.tmp" /QUIET. Un ricercatore di sicurezza ha essere trovato che questo eseguibile è vulnerabile al dirottamento della DLL.
Carica almeno UXTheme.dll dalla directory dell'applicazione %SystemRoot%\Temp\ invece dalla directory di sistema di Windows. Un utente (locale) senza privilegi che è in grado di inserire UXTheme.dll o una qualsiasi delle altre DLL caricate dall'eseguibile vulnerabile in %SystemRoot%\Temp\ ottiene l'escalation dei privilegi all'account SYSTEM.
Questa vulnerabilità è stata segnalata a Microsoft e la risposta di Microsoft è piuttosto triste. Microsoft non ha in programma di aggiornare lo strumento Skype Updater, ma rilascerà questa correzione in una versione più recente dell'app Skype.
Il team sta pianificando la spedizione di una versione più recente del client e questa versione corrente verrà lentamente ritirata.
Poiché l'attuale app Skype richiederebbe una revisione del codice di grandi dimensioni per impedire l'iniezione di DLL sopra descritta, Microsoft ha deciso di non risolverlo. Tuttavia, Microsoft ha affermato che tutte le risorse sono state destinate allo sviluppo del nuovo client. L'app Skype UWP non è interessata da questa vulnerabilità.
