La procedura di update di Skype ha un baco grave, meglio riscrivere l’app

Workspace
Privacy online, siti a rischio senza lucchetto verde sul browser

Scoperta a settembre una vulnerabilità in Skype che permetterebbe agli attaccanti di prendere il controllo di Windows. Microsoft non rimedia, ma promette una nuova versione dell’app

Stefan Kanthak, di professione ricercatore, ha scoperto un grave baco nella procedura di update di Skype. La vulnerabilità consentirebbe infatti di prendere il pieno controllo di una macchina Windows ed eseguire codice con i diritti più alti in assoluto, superiori persino a quelli degli account dell’Amministratore locale, i diritti di Sistema.

L’updater di Skype, in pratica il sistema di aggiornamento dell’applicazione, sarebbe vulnerabile a un attacco DLL Search Order Hijacking. L’attacco prevede l’utilizzo di una libreria in grado di portare la procedura di aggiornamento di Skype a caricarla, salvo poi lasciarle eseguire il codice malevolo, per una serie di mancati controlli intrinseci all’applicazione.

In arrivo Skype per Blackberry 10
La vulnerabilità riguarda il sistema di aggiornamento automatico

Quando si avvia una procedura di aggiornamento automatico in Skype, parte l’eseguibile che estrae un programma ma senza darne notifica all’utente per cui gli attaccanti potrebbero utilizzarlo con istruzioni malevole a danno dell’utente.

Si tratterebbe di un baco grave, ma la vera notizia in questo caso è la decisione di Microsoft  – che è a conoscenza del baco da mesi – di non procedere allo sviluppo della patch. Il motivo sarebbe l’eccessivo impegno richiesto in termini di tempo e risorse, per cui Microsoft avrebbe preferito una completa riscrittura dell’app.

E’ un peccato però che l’azienda non abbia notificato con tempestività né la presenza della vulnerabilità, né l’intenzione di rimediarvi offrendo una nuova versione di Skype. L’unico rimedio al momento è evitare di procedere ad aggiornare l’applicazione tramite aggiornamento automatico. 

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore