Категория: IT и Телеком
Дата публикации: 16 февраля 2018

В Skype обнаружена уязвимость, которая заставила Microsoft изменить весь код ПО

Проблема касается процесса обновления приложения и позволяет хакеру получить SYSTEM-привилегии в системе, что фактически равняется полной компрометации устройства

На этой неделе издание ZDNet опубликовало переписку с независимым экспертом по компьютерной безопасности Штефаном Кантаком. Исследователь рассказал о критической уязвимости в мессенджере софтверного гиганта, которая открывает широкие возможности злоумышленникам, позволяя похищать файлы, удалять данные и даже захватить полный контроль над системой.

Исследователь сообщил компании об уязвимости еще в сентябре прошлого года. В Microsoft изъян признали, заявив, что его устранение потребует "капитальной переделки кода". Многие тематические источники подняли шумиху и заявили, что Microsoft, прикрываясь необходимостью существенной переработки кода приложения, решила не выпускать отдельный патч безопасности, а закрыть дыру с выпуском следующей ключевой версии ПО.

На самом деле уязвимость уже закрыта. Еще в октябре прошлого года вышла восьмая версия Skype для Windows, в которой эта уязвимость была устранена. Об этом на сайте поддержки сообщил менеджер по продуктам Skype Эллен Килборн. Правда, в установочных файлах Skype версии 7.40 и более старых изъян все еще присутствует.

Подписывайтесь на Youtube-канал delo.ua

Что касается самой уязвимости, соответствующий эксплоит может использовать механизм обновления Skype для захвата полного контроля над системой путем подмены оригинальных DLL библиотек во временной папке %SYSTEMROOT% вредоносными с последующим их внедрением в процессы, исполняемые от имени администратора.

То есть да, пользователям старых версий Skype лучше на всякий случай обновиться.

Свежие новости

Категория

Финансы

Украине понадобится $42 млрд международной помощи для поддержки бюджета: где будем брать деньги
Категория

Война в Украине

Обновлено Ракетная атака РФ: в Днепре разрушена многоэтажка, двое погибших
Категория

IT и Телеком

Meta запустила ранние версии языковой ИИ-модели Llama 3

Все новости

Отметим, Microsoft 9 января приостановила рассылку обновлений безопасности против уязвимостей Meltdown и Spectre для компьютеров на базе процессоров AMD, поскольку после их установки некоторые устройства отказывались запускаться.

Критические уязвимости в начале января 2018 года обнаружили специалисты по кибербезопасности из Google. Проблема затронула не только Intel, но и процессоры других крупных производителей, включая AMD и ARM. Обнаруженная уязвимость дает хакерам потенциальную возможность похитить личные данные пользователей, в том числе пароли от учётных записей.

Напомним, в январе пресс-служба Intel объявила, что компьютеры на базе ее процессоров Haswell и Broadwell (четвертое и пятое поколение соответственно) стали часто перезагружаться после установки выпущенных компанией 4 января обновлений. Они должны были защитить устройства от уязвимостей Meltdown и Spectre.