Varnostna napaka v Skypeu lahko dovoli napadalcu, da pridobi privilegij na ravni sistema na osebnih računalnikih
2 min. prebrati
Objavljeno dne
Dajte v skupno rabo ta članek
Izboljšajte ta vodnik
Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več
Včeraj je bila razkrita nova varnostna ranljivost v namizju Skype za Windows. Namizna aplikacija Skype je opremljena z lastnim orodjem za posodabljanje, ki se občasno zažene, da je aplikacija Skype posodobljena. Ko je posodobitev na voljo, orodje Updater kopira/izvleče drugo izvedljivo datoteko kot »%SystemRoot%\Temp\SKY.tmp« in jo izvede z ukazno vrstico
“%SystemRoot%\Temp\SKY.tmp” /TIHO. Varnostni raziskovalec ima je pokazala, da je ta izvršljiv občutljiv na ugrabitev DLL.
Namesto iz sistemskega imenika sistema Windows naloži vsaj UXTheme.dll iz imenika aplikacij %SystemRoot%\Temp\. Neprivilegiran (lokalni) uporabnik, ki lahko postavi UXTheme.dll ali katero koli drugo datoteko DLL, ki jo naloži ranljiva izvedljiva datoteka v %SystemRoot%\Temp\, pridobi stopnjevanje privilegijev na račun SYSTEM.
Ta ranljivost je bila poročilo Microsoft in Microsoft odgovor je zelo žalosten. Microsoft ne namerava posodobiti orodja Skype Updater, namesto tega bo to popravilo izdal v novejši različici aplikacije Skype.
Ekipa načrtuje dostavo novejše različice odjemalca, ta trenutna različica pa bo počasi opuščena.
Ker bi trenutna aplikacija Skype potrebovala veliko revizijo kode, da bi preprečila zgoraj opisano injekcijo DLL, se je Microsoft odločil, da je ne bo popravil. Vendar je Microsoft omenil, da so vsa sredstva vložena v razvoj novega odjemalca. Ta ranljivost ne vpliva na aplikacijo Skype UWP.
