Эксперт по кибербезопасности Стивен Кантак обнаружил серьезную уязвимость в Skype, с помощью которой злоумышленник может как украсть данные с компьютера, так и полностью захватить над ним управление.
Как работает
Skype имеет свой собственный механизм обновления, и во время обновления программу можно обмануть довольно простой заменой вредоносного DLL файла на установочный. Как говорит Кантак, взломщик может просто загрузить вредоносный DLL во временную директорию, а затем назвать его именем реально существующий файл вроде UXTheme.dll. А дальше все ограничивается лишь фантазией и нуждами хакера.
Насколько это серьезно
Плохо номер один — по словам Кантака эту же уязвимость можно использовать не только на Win, но и на macOS и Linux. Плохо номер два — эксперт уведомил Microsoft о проблеме еще в сентябре 2017 года. Из Microsoft ответили, что они видят баг, но не могут залатать его т. к. для этого придется чуть ли не писать код с нуля. Поэтому уязвимость устранили в новом клиенте восьмой версии Skype, но это была та самая версия с редизайном под Snapchat, от которой многие старые пользователи Skype поспешно отказались (посмотрите отзывы в Microsoft Store). И остались на «семерке», которую Microsoft не может защитить.
Источник: ZDNet
Источник: