لن يتم إصلاح ثغرة أمنية ضخمة في Skype بواسطة Microsoft في أي وقت قريب

منوعاتDec 20, 2021
click fraud protection

لا تستطيع Microsoft إصلاح خطأ Skype بدون مراجعة التعليمات البرمجية الضخمة

لن تقوم Microsoft بإصلاح ثغرة Skype على نظام Windows

أبلغ محللو الأمن السيبراني عن ثغرة أمنية في سكايب والتي تسمح للقراصنة بالوصول إلى حساب نظام الكمبيوتر[1]. يكمن الخطأ في ميزة التحديث التلقائي للتطبيق وسيتطلب إعادة كتابة ضخمة للرمز والتي لا تستغرق وقتًا طويلاً فحسب ، بل إنها باهظة الثمن أيضًا. وبالمثل ، من المرجح أن تحتاج Microsoft إلى إصدار إصدار جديد من Skype بدلاً من مجرد تصحيح الخطأ.

وفقًا لستيفان كانثاك ، الباحث الأمني ​​يقول إن الثغرة الأمنية الموجودة في خدمة تحديث Skype يمكن استغلالها للوصول الكامل إلى دردشة المستخدم[2]. يؤدي هذا إلى تعريض خصوصية مستخدمي Skype للخطر نظرًا لأنه لا يمكن الكشف عن المعلومات الخاصة فحسب ، بل يمكن أيضًا إساءة استخدامها لأغراض التصيد الاحتيالي أو الابتزاز. أصبح المحتالون الآن أكثر حماسًا من أي وقت مضى للتحديث فيروس سكايب.

تساعد تقنية اختطاف DLL المجرمين على استغلال الثغرة الأمنية

تشير التقنية التي تسمى اختطاف DLL إلى استبدال مكتبة Microsoft الشرعية بمكتبة ضارة. يحتاج المهاجم إلى التسلل إلى ملف DLL الضار على كمبيوتر الضحية وإعادة تسميته تمامًا مثل الملف الأصلي[3]. بهذه الطريقة ، سيبحث التطبيق عن المكتبة ويجد ملف DLL الخبيث أولاً.

في كل مرة يتم فيها تشغيل Skype ، يقوم بالبحث عن التحديثات تلقائيًا. بمجرد تشغيل المُحدِّث ، سيستخدم ملفًا مختلفًا قابلاً للتنفيذ ويكون عرضة بشكل خاص لاختطاف DLL. على الرغم من أن بعض المجرمين قد يكافحون لإسقاط ملف DLL الضار على الكمبيوتر المستهدف ، إلا أن هناك العديد من الطرق التي يمكن من خلالها القيام بذلك.

أثناء إرسال رسائل بريد إلكتروني غير مرغوب فيها تحتوي على مرفقات مصابة أو تحميل DLL عبر مواقع ويب مشبوهة يعد أحد الخيارات ، متخصص في تكنولوجيا المعلومات يوضح أن هناك طريقة أسهل - يمكن لبرنامج نصي ضار أو برنامج ضار نقل ملف DLL عن بُعد إلى مجلد مؤقت كذلك[4].

اختارت Microsoft إصدار إصدار جديد من Skype بدلاً من إصدار تصحيح بسيط

أكدت Microsoft أن إصلاح الخلل كان ممكنًا. ومع ذلك ، أشار عملاق البرمجيات إلى أنه سيتطلب الكثير من العمل[5]. حدد الباحث طبيعة العمل كمراجعة ضخمة للشفرة لإصلاح الخطأ الذي سيستغرق وقتًا طويلاً.

ومع ذلك ، قالت Microsoft إنها تصدر تحديثًا على أي حال سيكون مصحوبًا الآن بإصدار جديد من Skype. من الواضح أن الشركة لن تقضي على الثغرة الأمنية على الرغم من حقيقة أن المستخدمين معرضون حاليًا للخطر. هذا يعني أن المجرمين لا يزال لديهم فرصة لسرقة البيانات وحذفها أو التسلل إلى برامج الفدية على أجهزة الكمبيوتر المستهدفة التي تعمل بنظام Windows.