Hi-Tech

Skype Win32, grave bug che richiede ampia riscrittura del codice dell'updater

Pubblicato su INFORMAZIONE 24 in: HI-TECH

È emersa una grave falla di sicurezza nel sistema di aggiornamento dell'app desktop di Skype per Windows. Un malintenzionato può ottenere accesso al sistema operativo con i massimi privilegi (SYSTEM, anche più elevati di Administrator), e da lì condurre virtualmente ogni tipo di attacco – installazione ransomware, cancellazione file, estrazione dati sensibili e molto altro.

L'attacco sfrutta una tecnica ben nota con il nome di DLL hijacking. In poche parole, viene scaricata una DLL dannosa in una cartella temporanea che non richiede privilegi d'accesso elevati, e si rinomina con lo stesso nome di una DLL legittima (per esempio UXTheme.DLL). L'installer di Skype, quando esegue gli aggiornamenti periodici, può trovare prima la DLL-trappola invece di quella legittima, ed eseguire il codice che contiene.

Microsoft è a conoscenza del problema da settembre, ma ha detto che risolverlo è impossibile attraverso una semplice patch: bisogna riscrivere buona parte del codice del processo che si occupa dell'aggiornamento. Microsoft ha risposto che, benché sia riuscito a riprodurre il problema, il team Skype sta concentrando tutti i propri sforzi nella realizzazione di una nuova versione del client, che sarà immune alla vulnerabilità. Non si sa però quando sarà pronta.


Fotocamera al top e video 4K a 60fps con tutta la qualità Apple? Apple iPhone 8 Plus, in offerta oggi da Tiger Shop a 739 euro oppure da ePrice a 850 euro.

CLICCA QUI PER CONTINUARE A LEGGERE

Tags
Mostra altro

Articoli correlati

Lascia un commento

Ti potrebbe interessare...

Close
Close

Adblock rilevato

Disattiva il tuo AdBlocker