O pesquisador de segurança Stefan Kanthak alertou recentemente para uma falha de segurança no Skype para desktop que pode permitir que um atacante tome o controle do sistema operacional do computador.
Falha de segurança no Skype
De acordo com ele, a falha pode ser explorada usando uma técnica conhecida como “DLL hijacking”. A versão para desktop do Skype possui uma ferramenta própria de atualização que é executada periodicamente para manter o software atualizado.
Quando uma atualização está disponível, a ferramenta faz o download e extrai seu conteúdo como “%SystemRoot%TempSKY.tmp”. Em seguida ela executa o comando “%SystemRoot%TempSKY.tmp” /QUIET para instalar a atualização.
O problema é que Stefan Kanthak descobriu que este executável pode ser “enganado” para que ele utilize um arquivo malicioso ao invés do legítimo baixado pela ferramenta.
Kanthak informou à Microsoft sobre a falha em setembro passado, mas a empresa optou por deixá-la sem correção. A justificativa é que a correção requer uma revisão completa do código do Skype e partes dele teriam que ser reescritas.
A Microsoft está trabalhando em uma nova versão do Skype já com a correção ao invés de uma atualização para o cliente atual, mas esta nova versão ainda não tem uma data de lançamento definida.
Valer destacar que a falha só afeta o Skype para desktop. A versão baseada na Universal Windows Platform (UWP) não é afetada.
Artigo original:
www.baboo.com.br