Нeдaвнo выявлeннaя уязвимoсть в Skype, пoзвoляющaя злoумышлeннику пoлучить пoвышeнныe привилeгии нa кoмпьютeрe жeртвы, нe будeт испрaвлeнa в скoлькo-нибудь ближaйшeм будущем. Проблема требует серьезной ревизии программного кода одного из ключевых компонентов мессенджера.

Читай также: Skype установила рекорд по количеству активных пользователей

Уязвимость, которую еще осенью 2017 г. обнаружил эксперт по безопасности Штефан Кантак, позволяет злоумышленнику модифицировать установщик обновлений Skype и внедрить в них вредоносную DLL-библиотеку. У злоумышленника есть возможность загрузить вредоносную DLL во временную папку, доступную пользователю, и присвоить ей имя существующей библиотеки, которую может модифицировать любой пользователь с минимальными привилегиями в системе, — например, UXTheme.dll.

По мнению Кантака, проблема не ограничивается Windows, — версии Skype под Mac OS и Linux также уязвимы.

По словам эксперта, информация о баге была передана в Microsoft еще в сентябре 2017 г., но в ближайшем будущем выхода патча ожидать не приходится: проблема требует серьезного пересмотра кода.

По данным Катнака, сейчас в Microsoft ведется разработка нового клиента Skype, в котором данная уязвимость будет отсутствовать.

magne1906