Microsoft skończył z klasyczną wersją Skype, zamiast załatać w niej lukę

Strona główna Aktualności
image

O autorze

Odkryta kilka dni temu w mechanizmie aktualizacji Skype poważna luka bezpieczeństwa przyniosła nieoczekiwane konsekwencje dla miłośników tego komunikatora. Microsoft nie tylko nie będzie jej naprawiał (co miało być niezwykle trudne i wiązać się z koniecznością przepisania dużej ilości kodu), ale w ogóle rezygnuje z klasycznej desktopowej wersji Skype. Została ona wycofana ze strony programu.

Przypomnijmy: od kilku lat Microsoft oferuje Skype jako opcjonalną aktualizację poprzez Windows Update, jednak później komunikator sam się aktualizuje za pomocą swojego własnościowego mechanizmu, zaszytego w pliku Updater.exe. Jak odkrył niemiecki ekspert Stefan Kanthak, komunikator ten regularnie uruchamia Updater.exe z najwyższymi uprawnieniami SYSTEM, a jeśli pojawi się aktualizacja, to zostaje ona skopiowana do folderu z plikami tymczasowymi i uruchomiona w sposób niezauważalny dla użytkownika.

Pobrany tymczasowy plik aktualizacji jest jednak podatny na atak porwania DLL – ładuje ze swojego tymczasowego folderu plik UXTheme.dll, a czasem i inne biblioteki DLL, zamiast robić to z folderu Windows. Działający z normalnymi uprawnieniami użytkownik, który jest w stanie umieścić w folderze tymczasowym taką bibliotekę, jest w stanie uruchomić tak kod z uprawnieniami SYSTEM.

Odkrywca luki upublicznił ją 9 lutego, po tym, jak 27 października zeszłego roku Microsoft poinformował go, że co prawda udało się odtworzyć problem, ale nie będzie wydawał łatki dla podatnego klienta Skype, ponieważ zamierza wprowadzić poprawkę jedynie do jego nowej wersji, a tę klasyczną będzie stopniowo się wycofywało. Instalator wymagałby daleko idących poprawek, tymczasem wszystkie zasoby zostały przesunięte na budowę nowego klienta.

Microsoft nie skomentował upublicznienia – aż do teraz, i to też tylko w pośredni sposób. Menedżer Skype’a Ellen Kilbourne na łamach forum MS Answers poinformowała, że w instalatorze Skype dla wersji 7.40 oraz wcześniejszych występował taki problem, i dlatego wersja te została wycofana ze strony projektu. Wersja aktualna, tj. Skype 8.x, dostępna na stronie projektu od października zeszłego roku, jest odporna na opisany wyżej atak.

Czy zatem nie ma o czym mówić? Niekoniecznie. Przede wszystkim trzeba pamiętać, że Skype 7.40.0.151 był ostatnią natywną (win32) wersją Skype’a na klasyczne Windows. Ta nowa wersja (obecnie Skype 8.15.0.4) to po prostu webowa aplikacja uruchomiona na platformie Electron/Chromium. Z kolei Skype dostępne przez sklep Microsoft Store to jeszcze coś innego, oznaczona numerem wersji 12.1803.279.0 aplikacja uniwersalna (UWP), przeznaczona na Windows 10. Zarówno wersja „elektronowa” jak i uniwersalna są zubożone względem oryginalnej aplikacji desktopowej i nie zdobyły większej sympatii wśród użytkowników (a może nawet wręcz przeciwnie). Trudno więc je uznać za uaktualnienia wersji 7.40.

Stara wersja Skype (wciąż przecież działająca w sieci tego komunikatora) zainstalowana jest zapewne na dziesiątkach milionów pecetów. Czy nie stanowi zagrożenie dla ich bezpieczeństwa? Nie wydając aktualizacji, Microsoft tym samym wskazuje cyberprzestępcom potencjalny wektor ataku, który w pewnych warunkach mógłby pozwolić złośliwemu oprogramowaniu na uzyskanie najwyższych uprawnień i przez to trwałej obecności w zainfekowanych systemach.

Samo zniknięcie starego klienta ze stron Skype trudno więc uznać za cokolwiek innego, niż próbę zamiecenia tego zagrożenia pod dywan.

© dobreprogramy