Aktualizované 16.2.2018
Ako sa nakoniec ukázalo informácie, ktoré bezpečnostných výskumník Stefanom Kanthak zverejnil začiatkom februára neboli celkom korektné.
Problém nastal v tom, že Microsoft chybu, prítomnú v inštalačnom mechanizme aplikácie Skype verzie 7.4 a nižších, prakticky odstránil vydaním verzie 8 ešte v októbri minulého roka, no Kanthaka, ktorí na ňu upozornil, o tom zjavne nikto neinformoval. Inštalátor starších, klasických verzií Skype bol navyše stiahnutý z obehu, aby sa predišlo možným problémom.
Nakoľko sa z jeho pohľadu mesiace nič nedialo, prirodzene si myslel, že riešenie odhalenej chyby nie je brané dostatočne vážne, a preto verejne sprístupnil podrobnosti o možnom zneužití. Týmto spôsobom chcel na Microsoft zatlačiť, aby sa problém dočkal skorého riešenia.
Pôvodný článok zo 14.2.2018 je pod čiarou.
V aktualizačnom mechanizme populárnej komunikačnej aplikácie Skype bola, bezpečnostným výskumníkom Stefanom Kanthakom, ešte v septembri minulého roka odhalená vážna zraniteľnosť, ktorá útočníkom potenciálne umožňuje získať úplnú kontrolu nad systémom obete.
Problém bol zistený v spôsobe, akým dochádza k aktualizácii aplikácie pri zverejnení novej verzie. Doteraz používaný mechanizmus, ktorý beží ako samostatný proces, do systému štandardne zavádza aj nové knižnice .dll, čo môžu útočníci zneužiť tak, že do dočasnej zložky umiestnia vlastnú, podvrhnutú knižnicu. Následne ju premenujú na názov, ktorý inštalátor očakáva, a ten ju preto do systému aj zavedie.
Kanthak informuje, že samotné umiestnenie aj premenovanie .dll knižnice je možné vykonať aj bez administrátorských práv. Útok v konečnom dôsledku končí získaním administrátorských práv nad systémom, kedy záškodníci majú okrem iného plný prístup k dátam. Zraniteľnosť síce bola identifikovaná vo verzii aplikácie pre Windows, no ohrozené môžu byť aj systémy Mac a Linux.
Chyba je v aplikácii zakorenená príliš hlboko a jej odstránenie vyžaduje úpravu obrovského množstva zdrojového kódu. Hoci je teda Microsoft o jej prítomnosti a možných dôsledkoch informovaný, nie je schopný poskytnúť promptnú nápravu. Aplikáciu Skype musí od základov prekopať, čo vyžaduje množstvo úsilia a zraniteľnosť preto má byť odstránená až v jej ďalšej verzii.
Zdroj: Zdnet