微软并没有急着去修复暴露用户的Skype漏洞。
2018-02-13 软件资讯

安全研究人员Stefan Kanthak表示,这个漏洞存在于Skype更新服务中,它可以在DLL劫持的帮助下被利用,这个漏洞会诱使用户使用恶意程序库而不是微软提供的真正程序。


正如ZDNet报道的,这意味着攻击者首先必须在目标计算机上放置令人讨厌的DLL文件,但研究人员表示,使用临时用户文件夹有很多方法。


一旦Skype启动并使用专用更新服务检查更新,如果加载了恶意程序库,网络犯罪分子就可以利用该漏洞并获得对计算机的访问权限,从而获得与登录用户相同的权限。毫无疑问,如果使用管理员帐户,这是非常危险的,但是攻击者无论如何都可以窃取存储在系统中的数据。


新的Skype客户端正在发展中

至于微软不急于开发修补程序的原因,研究人员表示,他于去年9月首次联系该公司,并被告知重现该问题确实有可能。

然而,当时这位软件巨头解释说,为这个漏洞推出一个修复程序需要做很多工作,指出更新者需要通过研究人员引用的“大代码修订版”来阻止漏洞利用。


另一方面,微软正在准备更新,只是它将在未来的某个时候发布新版本。这意味着即使用户已经很容易受到攻击,但解决该错误的独立安全修复程序不会很快发布。


研究人员表示,其他系统也可能容易受到攻击,包括Mac和Linux,尽管他承认,当涉及DLL劫持时,可以在Windows上以多种方式完成。



预告

关闭