W module aktualizatora komunikatora Skype wykryto poważną lukę, która pozwala atakującemu uzyskać uprawnienia na poziomie systemu. Dzięki temu będzie on mógł dostać się do praktycznie każdego „zakątka” systemu.
Dziurę jako pierwszy wykrył Stefan Kanthak. Tłumaczy on, że atakujący może podsunąć własny, fałszywy plik DLL, który zostanie rozpoznany przez system. Dzięki temu utrzyma uprawnienia, które sam nazywa „administratorem na sterydach”.
W efekcie cyberprzestępca będzie mógł wykonać wiele czynności na naszym komputerze. Mowa o usuwaniu i kradzieży danych czy chociażby uruchomieniu programu szyfrującego pliki.
Microsoft nie załata dziury
Badacz poinformował Microsoft o problemie już we wrześniu. Firma potwierdziła, że dzięki luce rzeczywiście można uzyskać wysokie uprawnienia w systemie, jednak nie zamierza jej załatać, gdyż „wymagałoby to rewizji ogromnej ilości kodu źródłowego”.
Gigant z Redmond zapewnił, że luka zostanie całkowicie wyeliminowana w nowej wersji komunikatora Skype. Firma nie wyda zatem łatki bezpieczeństwa, tylko skupi się na pracach nad następną edycją aplikacji.
Warto dodać, że na atak podatne są nie tylko urządzenia z Windowsem. W podobny sposób uprawnienia można uzyskać w Linuksie i macOS.