פגיעות ענקית של סקייפ לא תתוקן על ידי מיקרוסופט בקרוב

מיקרוסופט לא יכולה לתקן את באג סקייפ ללא עדכון קוד ענק

אנליסטים של אבטחת סייבר מדווחים על פגיעות של סקייפ המאפשרת להאקרים לקבל גישה לחשבון המערכת של המחשב^[1]. הבאג נמצא בתכונת העדכון האוטומטי של האפליקציה ודורש שכתוב קוד מסיבי שהוא לא רק גוזל זמן אלא גם יקר. כמו כן, סביר יותר שמיקרוסופט תצטרך להוציא גרסה חדשה של סקייפ במקום פשוט לתקן את הבאג.

לדברי Stefan Kanthak, חוקר אבטחה אומר שניתן לנצל את הפגיעות הקיימת בשירות העדכונים של סקייפ כדי לקבל גישה מלאה לצ'אט של המשתמש^[2]. זה מעמיד את הפרטיות של משתמשי סקייפ בסיכון מכיוון שלא רק מידע פרטי עלול להיחשף אלא גם לעשות שימוש לרעה למטרות דיוג או סחיטה. עכשיו לנוכלים יש מוטיבציה מתמיד לעדכן וירוס סקייפ.

טכניקת חטיפת DLL עוזרת לפושעים לנצל את הפגיעות

הטכניקה הנקראת חטיפת DLL מתייחסת להחלפת ספריית מיקרוסופט לגיטימית בספרייה הזדונית. תוקף צריך לחדור לקובץ ה-DLL הזדוני למחשב של הקורבן ולשנות את שמו בדיוק כמו הקובץ המקורי^[3]. בדרך זו, האפליקציה תחפש את הספרייה ותמצא תחילה קובץ DLL זדוני.

בכל פעם שסקייפ מפעילה הוא בודק אם יש עדכונים באופן אוטומטי. ברגע שהוא הפעיל את העדכון, הוא ישתמש בקובץ הפעלה אחר ושהוא בדיוק פגיע לחטיפת DLL. למרות שחלק מהפושעים יתקשו להפיל את קובץ ה-DLL הזדוני במחשב הממוקד, ישנן דרכים רבות כיצד ניתן לעשות זאת.

אמנם שליחת דואר זבל עם קבצים מצורפים נגועים או טעינת DLL דרך אתרים מפוקפקים היא אפשרות, מומחה IT מסביר שיש דרך קלה יותר - סקריפט זדוני או תוכנה זדונית עלולים להעביר מרחוק קובץ DLL לתיקיה זמנית גם כן^[4].

מיקרוסופט בחרה לשחרר גרסה חדשה של סקייפ ולא תיקון פשוט

מיקרוסופט אישרה שתיקון הבאג אפשרי. עם זאת, ענקית התוכנה ציינה שזה ידרוש יותר מדי עבודה^[5]. החוקר ציין את אופי העבודה כתיקון קוד ענק כדי לתקן את הבאג שייקח זמן רב.

עם זאת, מיקרוסופט אמרה שהיא משחררת בכל מקרה עדכון שילווה כעת בגרסה חדשה של סקייפ. ברור שהחברה לא מתכוונת לבטל את הפגיעות למרות העובדה שהמשתמשים נמצאים כעת בסיכון. זה אומר שלפושעים עדיין יש סיכוי לגנוב ולמחוק נתונים או לחדור תוכנות כופר למחשבי Windows הממוקדים.