Skype: ευπάθεια απαιτεί την ανάπτυξη νέας εφαρμογής


Ένα ελάττωμα ασφαλείας στη διαδικασία ενημέρωσης του Skype μπορεί να επιτρέψει σε έναν εισβολέα να αποκτήσει προνόμια διαχειριστή συστήματος.

Το σφάλμα, μπορεί να δώσει έναν τοπικό χρήστη χωρίς προνόμια, πλήρη δικαιώματα “συστήματος” – δίνοντάς του ουσιαστικά πρόσβαση σε κάθε λειτουργία του OS.

Ωστόσο, η Microsoft, η οποία είναι πίσω από την υπηρεσία, δήλωσε ότι δεν θα διορθώσει αμέσως το ελάττωμα, επειδή απαιτεί πάρα πολλή δουλειά….skype black - Skype: ευπάθεια απαιτεί την ανάπτυξη νέας εφαρμογής

Ο ερευνητής ασφάλειας Stefan Kanthak διαπίστωσε ότι το πρόγραμμα εγκατάστασης του Skype update θα μπορούσε να χρησιμοποιήσει με μια τεχνική παραβίασης DLL, η οποία επιτρέπει σε έναν εισβολέα να ξεγελάσει μια εφαρμογή για να προσθέσει κακόβουλο κώδικα αντί το σωστό library.

Ένας εισβολέας μπορεί να κατεβάσει ένα κακόβουλο DLL σε ένα προσωρινό φάκελο που είναι προσβάσιμο από το χρήστη και να το μετονομάσει σε ένα υπάρχον DLL που μπορεί να τροποποιηθεί από έναν χρήστη χωρίς δικαιώματα διαχειριστή, όπως το UXTheme.dll.

Το σφάλμα λειτουργεί επειδή το κακόβουλο DLL είναι το πρώτο που βρίσκει η εφαρμογή όταν αναζητά το DLL που χρειάζεται.

Μόλις εγκατασταθεί, το Skype χρησιμοποιεί ένα δικό του ενσωματωμένο updater για να διατηρεί το λογισμικό ενημερωμένο.

Ο ερευνητής διευκρίνισε μάλιστα ότι η επίθεση είναι πολύ εύκολη στα Windows, αλλά δεν περιορίζεται στα Windows. Σύμφωνα με τον Stefan Kanthak και αυτά που ανέφερε στο ZDNet, η επίθεση μπορεί να εφαρμοστεί σε συστήματα Mac αλλά και Linux.

Φυσικά είναι περιττό να αναφέρουμε ότι μόλις ο επιτιθέμενος αποκτήσει προνόμια “συστήματος”, μπορεί να κάνει οτιδήποτε.

Ο Kanthak ενημέρωσε τη Microsoft για το σφάλμα τον Σεπτέμβριο, αλλά η εταιρεία ανέφερε ότι μια νέα έκδοση επιδιόρθωσης θα απαιτούσε από τον updater να περάσει από “μια μεγάλη αναθεώρηση κώδικα”.

Η εταιρεία δήλωσε ότι παρόλο που οι μηχανικοί της “μπόρεσαν να αναπαραγάγουν το ζήτημα,” η λύση θα έρθει “σε μια νεότερη έκδοση του προϊόντος και όχι με μια ενημερωμένη έκδοση ασφαλείας”.

Η εταιρεία ανέφερε επίσης ότι έχει “όλους τους πόρους” για την ανάπτυξη ενός εντελώς νέου client.

Να αναφέρουμε ότι το Skype είναι μια εφαρμογή που τρέχει στο ίδιο επίπεδο προνομίων με τον συνδεδεμένο χρήστη, γεγονός που δυσκολεύει τους εισβολείς αν ο συνδεδεμένος χρήστης δεν είναι διαχειριστής. Η συγκεκριμένη ευπάθεια όμως καθιστά την εφαρμογή πολύ επικίνδυνη.


Λήψη νέων αναρτήσεων μέσω email:

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

Αφήστε μια απάντηση

Your email address will not be published.