Microsoft ei saa Skype'i viga parandada ilma suure koodi muutmiseta
Küberturvalisuse analüütikud teatavad Skype'i haavatavusest, mis võimaldab häkkeritel pääseda juurde arvuti süsteemikontole[1]. Viga peitub rakenduse automaatses värskendusfunktsioonis ja nõuaks ulatuslikku koodi ümberkirjutamist, mis pole mitte ainult aeganõudev, vaid ka kallis. Samuti on tõenäolisem, et Microsoft peab vea lihtsalt parandamise asemel välja andma Skype'i uue versiooni.
Stefan Kanthaki sõnul ütleb turvateadlane, et Skype'i värskendusteenuses leiduvat haavatavust saab ära kasutada kasutaja vestlusele täieliku juurdepääsu saamiseks.[2]. See seab ohtu Skype'i kasutajate privaatsuse, kuna mitte ainult privaatset teavet võidakse paljastada, vaid seda võidakse kasutada ka andmepüügi või väljapressimise eesmärgil. Nüüd on kelmid uuendusteks motiveeritumad kui kunagi varem Skype viirus.
DLL-i kaaperdamise tehnika aitab kurjategijatel haavatavust ära kasutada
DLL-i kaaperdamise meetod viitab legitiimse Microsofti teegi asendamisele pahatahtliku teegiga. Ründaja peab tungima pahatahtliku DLL-faili ohvri arvutisse ja nimetama selle ümber täpselt samamoodi nagu algne
[3]. Nii otsib rakendus teeki ja leiab esmalt pahatahtliku DLL-faili.Iga kord, kui Skype käivitub, kontrollib see värskendusi automaatselt. Kui see värskendaja käivitas, kasutaks see teist käivitatavat faili, mis on DLL-i kaaperdamise suhtes haavatav. Kuigi mõnel kurjategijal võib olla raskusi pahatahtliku DLL-faili sihitud arvutisse pukseerimisega, saab seda teha mitmel viisil.
Kuigi nakatunud manustega rämpsposti saatmine või DLL-i laadimine varjuliste veebisaitide kaudu on võimalik, on IT-spetsialist selgitab, et on olemas lihtsam viis – pahatahtlik skript või pahavara võib kaugjuhtimisega DLL-faili ajutisse kausta üle kanda samuti[4].
Microsoft otsustas välja anda Skype'i uue versiooni, mitte lihtsa paiga
Microsoft on kinnitanud, et vea parandamine oli võimalik. Tarkvaragigant tõi aga välja, et see nõuaks liiga palju tööd[5]. Teadlane täpsustas töö olemust kui tohutut koodimuudatust vea parandamiseks, mis oleks aeganõudev.
Microsoft teatas aga, et annab igal juhul välja värskenduse, millega kaasneb nüüd Skype’i uus versioon. On ilmne, et ettevõte ei kavatse haavatavust kõrvaldada, hoolimata asjaolust, et kasutajad on praegu ohus. See tähendab, et kurjategijatel on endiselt võimalus sihitud Windowsi arvutitesse andmeid varastada ja kustutada või lunavarasse tungida.