Нещодавно виявлена уразливість в Skype, що дозволяє зловмисникові отримати підвищені привілеї на комп’ютері жертви, не буде виправлена в найближчому майбутньому. Проблема вимагає серйозної ревізії програмного коду одного з ключових компонентів месенджера.
Уразливість, яку ще восени 2017 р виявив експерт з безпеки Штефан Кантака, дозволяє зловмисникові модифікувати установник оновлень Skype і впровадити в них шкідливу DLL-бібліотеку. У зловмисника є можливість завантажити шкідливу DLL в тимчасову папку, доступну користувачу, і присвоїти їй ім’я існуючої бібліотеки, яку може модифікувати будь-який користувач з мінімальними привілеями в системі, – наприклад, UXTheme.dll.
На думку Кантака, проблема не обмежується Windows, – версії Skype під Mac OS і Linux також уразливі.
За словами експерта, інформація про баг була передана в Microsoft ще в вересні 2017 року, але в найближчому майбутньому виходу патча очікувати не доводиться: проблема вимагає серйозного перегляду коду.
За даними Катнака, зараз в Microsoft веде розробку нового клієнта Skype, в якому дана уразливість буде відсутня.
