Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  Дискусии  •  Кариерна зона  •  Събития
COMPUTERWORLD | Киберсигурност
15 фев
2018
 
 

Проблем в Skypе ще накара Microsoft да пренапише приложението

5108 прочитания

Наскоро в комуникатора Skype бе открита слабост, позволяваща на злоумишлениците да получават пълен достъп до компютъра на своята жертва. В Microsoft, която притежава услугата, са взели решение да публикуват поправка, тъй като за целта е необходима сериозна ревизия на кода на ключов компонент на приложението.

Уязвимостта, открита още през есента на 2017 г. от експерта по кибер сигурност Щефан Кантак, позволява на злоумишленици да модифицират инсталатора на обновявания на Skype, внедрявайки в тях вредоносна DLL библиотека. Те могат да използват името на съществуващ DLL, който може да бъде модифициран от всеки потребител на системата. Проблемът се състои в това, че инсталаторът намира първо вредоносната библиотека.

Проблем в Skypе ще накара Microsoft да пренапише приложението

Прочетете още: Skype въвежда опция за водене на криптирани разговори и чатове

“След инсталиране Skype използва собствен инструмент за автоматична инсталация на обновявания вместо Windows/Microsoft Update – обяснява Кантак. – Skype периодично стартира “%ProgramFiles%\Skype\Updater\Updater.exe” със System привилегии. При поява на обновяване, Updater.exe копира и извлича още един изпълним файл във вида “%SystemRoot%\Temp\SKY.tmp” и го изпълнява с помощта на командния ред “%SystemRoot%\Temp\SKY.tmp” /QUIET.”

Въпросният файл е уязвим за атака от типа DLL hijacking (подмяна на DLL). В крайна сметка атакуващият може да получи системни (т.е. неограничени) привилегии на компютъра на жертвата. За целта той трябва да копира вредоносния DLL във папката “%SystemRoot%\Temp\”.

По мнението на Кантак проблемът е налице не само под Windows, но и във версиите за Mac OS и Linux. Microsoft компанията вече работи над нов клиентско приложение.

НАЙ-НОВИ НАЙ-ЧЕТЕНИ ПРЕПОРЪЧАНИ
ИТ МЕНИДЖЪР НА ГОДИНАТА
Започна регистрацията за конкурса „ИТ мениджър на годината“

Започна регистрацията за конкурса „ИТ мениджър на годината“

Наградите на списание CIO и сдружението „Клуб на ИТ мениджърите в България” се дават за значителни постижения в областта на управлението и развитието на информационните технологии.
Фирмите представят

Слайдшоу
ИНТЕРВЮ
Само за 6 месеца инициативата Vue Vixens е обучила над 400 жениСамо за 6 месеца инициативата Vue Vixens е обучила над 400 жени

Интервю с Джен Лупър, старши developer advocate в Progress и основател на Vue Vixens, лектор на конференцията DevReach 2018

ПРИЛОЖЕНИЯ
АНКЕТА

Какво мислите за FireFox OS?

Информация за Вас