HomeMacityInternetPericoloso bug in Skype, ma per Microsoft il fix richiede troppo lavoro

Pericoloso bug in Skype, ma per Microsoft il fix richiede troppo lavoro

[banner]…[/banner]

È stata individuata una pericolosa vulnerabilità in Skype updater, il meccanismo di aggiornamento di Skype (il noto client per l’accesso a servizi di messaggistica istantanea testuale, VoIP e chat video), un bug che che potenzialmente potrebbe consentire ad un cybercriminale di ottenere provilegi a livlelo di sistema.

La vulnerabilità è stata individuata dal ricercatore stefan Kanthak, riguarda Windows e in particolare il meccanismo di aggiornamento automatico proprietario dell’applicazione Skype. Per impostazione predefinita, l’appliczione in questione controlla periodicamente la presenza di aggiornamenti avviando l’eseguibile Updater.exe con i privilegi dell’account System. Questo account di Windows ha gli stessi privilegi dell’utente amministratore e viene sfruttato dal sistema operativo e dai servizi che hanno bisogno di accedere al filesystem con controllo completo. Dal punto di vista tecnico, dopo l’avvio, l’applicazione Updater.exe estrae un programma denominato SKY<abcd>.tmp, nella cartella “%SystemRoot%\Temp\” e lo esegue in modalità silenziosa. Questo programma è vulnerabile ad attacchi di tipo DLL hijacking poiché carica la DLL UXTheme.dll dalla directory in cui si trova l’eseguibile invece che dalla directory di sistema di Windows. Un attacker potrebbe sfruttare questa vulnerabilità per elevare i propri privilegi con una DLL inserita nella directory “%SystemRoot%\Temp\”. La vulnerabilità può consentire l’esecuzione di codice arbitrario con i privilegi dell’account System, con conseguente compromissione totale del sistema.

Skype per Windows

Secondo una dichiarazione di Microsoft rilasciata a ZDNet, l’azienda non ha intenzione di risolvere subito il problema perché richiede “troppo lavoro”. La DLL in questione non esiste su macOS o Linux ma secondo il ricercatore esperto in sicurezza non sono da escludere potenziali problemi nei meccanismi di aggiornamento di Skype per macOS e Linux. Anziché rilasciare un aggiornamento di sicurezza specifico, Microsoft offrirà una versione del tutto nuova con integrata la soluzione al bug. In assenza di una soluzione da parte della Casa di Microsot, la vulnerabilità, in accordo alle politica di vulnerability disclosure del settore, è stata divulgata dopo 90 giorni dalla scoperta. In attesa della futura versione di Skype che dovrebbe risolvere il problema, l’unico suggerimento possibile per gli utenti è di rumuove l’app Skype o, in alternativa, di disattivare gli aggiornamenti automatici dell’applicazione.

Black Friday su Macitynet.it

Per seguire al meglio tutta la settimana prolungata del Black Friday (ma il consiglio è utile per tutte le iniziative che seguiranno) potete:

  • Visitare più volte questa pagina che riporta gli articoli con gli sconti divisi per categorie
  • Iscrivervi ai nostri canali telegram Offerte Tech e Offerte Oltre Tech – (trovate tutte le spiegazioni su questa pagina)
  • Visitare la nostra Home Page o più specificamente la sezione Offerte
  • Diventare nostri follower su Facebook
  • Iscrivervi al nostro canale Twitter
  • Iscrivervi alle notifiche generali di Macitynet.it (usate la funzione notifica del vostro sistema operativo).

Pubblicità

Ultimi articoli

Pubblicità

Iguida

Faq e Tutorial