Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Pericoloso bug in Skype, ma per Microsoft il fix richiede troppo lavoro

Pericoloso bug in Skype, ma per Microsoft il fix richiede troppo lavoro

Pubblicità

[banner]…[/banner]

È stata individuata una pericolosa vulnerabilità in Skype updater, il meccanismo di aggiornamento di Skype (il noto client per l’accesso a servizi di messaggistica istantanea testuale, VoIP e chat video), un bug che che potenzialmente potrebbe consentire ad un cybercriminale di ottenere provilegi a livlelo di sistema.

La vulnerabilità è stata individuata dal ricercatore stefan Kanthak, riguarda Windows e in particolare il meccanismo di aggiornamento automatico proprietario dell’applicazione Skype. Per impostazione predefinita, l’appliczione in questione controlla periodicamente la presenza di aggiornamenti avviando l’eseguibile Updater.exe con i privilegi dell’account System. Questo account di Windows ha gli stessi privilegi dell’utente amministratore e viene sfruttato dal sistema operativo e dai servizi che hanno bisogno di accedere al filesystem con controllo completo. Dal punto di vista tecnico, dopo l’avvio, l’applicazione Updater.exe estrae un programma denominato SKY<abcd>.tmp, nella cartella “%SystemRoot%\Temp\” e lo esegue in modalità silenziosa. Questo programma è vulnerabile ad attacchi di tipo DLL hijacking poiché carica la DLL UXTheme.dll dalla directory in cui si trova l’eseguibile invece che dalla directory di sistema di Windows. Un attacker potrebbe sfruttare questa vulnerabilità per elevare i propri privilegi con una DLL inserita nella directory “%SystemRoot%\Temp\”. La vulnerabilità può consentire l’esecuzione di codice arbitrario con i privilegi dell’account System, con conseguente compromissione totale del sistema.

Skype per Windows

Secondo una dichiarazione di Microsoft rilasciata a ZDNet, l’azienda non ha intenzione di risolvere subito il problema perché richiede “troppo lavoro”. La DLL in questione non esiste su macOS o Linux ma secondo il ricercatore esperto in sicurezza non sono da escludere potenziali problemi nei meccanismi di aggiornamento di Skype per macOS e Linux. Anziché rilasciare un aggiornamento di sicurezza specifico, Microsoft offrirà una versione del tutto nuova con integrata la soluzione al bug. In assenza di una soluzione da parte della Casa di Microsot, la vulnerabilità, in accordo alle politica di vulnerability disclosure del settore, è stata divulgata dopo 90 giorni dalla scoperta. In attesa della futura versione di Skype che dovrebbe risolvere il problema, l’unico suggerimento possibile per gli utenti è di rumuove l’app Skype o, in alternativa, di disattivare gli aggiornamenti automatici dell’applicazione.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

Dieci regali Apple da acquistare su Amazon con consegna prima di Natale

I migliori prodotti Apple con sconto su Amazon e che arrivano fine anno

Arrivano in tempo per i vostri acquisti di fine anno. Comodissimi per chiudere un bilancio con le spese più utili per il lavoro. O per iniziare il prossimo con l'attrezzatura giusta.
Pubblicità

Ultimi articoli

Pubblicità