Microsoft skończył z klasyczną wersją Skype, zamiast załatać w niej lukę

Microsoft skończył z klasyczną wersją Skype, zamiast załatać w niej lukę
16.02.2018 21:17
Microsoft skończył z klasyczną wersją Skype, zamiast załatać w niej lukę

Odkryta kilka dni temu w mechanizmie aktualizacji Skype poważnalukabezpieczeństwa przyniosła nieoczekiwane konsekwencje dlamiłośników tego komunikatora. Microsoft nie tylko nie będzie jejnaprawiał (co miało być niezwykle trudne i wiązać się zkoniecznością przepisania dużej ilości kodu), ale w ogólerezygnuje z klasycznej desktopowej wersji Skype. Została onawycofana ze strony programu.

Przypomnijmy: od kilku lat Microsoft oferuje Skype jako opcjonalnąaktualizację poprzez Windows Update, jednak później komunikatorsam się aktualizuje za pomocą swojego własnościowego mechanizmu,zaszytego w pliku Updater.exe. Jak odkrył niemiecki ekspert StefanKanthak, komunikator ten regularnie uruchamia Updater.exe znajwyższymi uprawnieniami SYSTEM, a jeśli pojawi się aktualizacja,to zostaje ona skopiowana do folderu z plikami tymczasowymi iuruchomiona w sposób niezauważalny dla użytkownika.

Pobrany tymczasowy plik aktualizacji jest jednak podatny na atakporwaniaDLL – ładuje ze swojego tymczasowego folderu plik UXTheme.dll,a czasem i inne biblioteki DLL, zamiast robić to z folderu Windows.Działający z normalnymi uprawnieniami użytkownik, który jest wstanie umieścić w folderze tymczasowym taką bibliotekę, jest wstanie uruchomić tak kod z uprawnieniami SYSTEM.

Odkrywca luki upubliczniłją 9 lutego, po tym, jak 27 października zeszłego rokuMicrosoft poinformował go, że co prawda udało się odtworzyćproblem, ale nie będzie wydawał łatki dla podatnego klienta Skype,ponieważ zamierza wprowadzić poprawkę jedynie do jego nowej wersji, a tę klasyczną będzie stopniowo się wycofywało.Instalator wymagałby daleko idących poprawek, tymczasem wszystkiezasoby zostały przesunięte na budowę nowego klienta.

Skype 7.40 po cichu porzucone przez Microsoft. Czy luka w instalatorze przestała być groźna?
Skype 7.40 po cichu porzucone przez Microsoft. Czy luka w instalatorze przestała być groźna?

Microsoft nie skomentował upublicznienia – aż do teraz, i toteż tylko w pośredni sposób. Menedżer Skype’a Ellen Kilbournena łamach forum MS Answers poinformowała,że w instalatorze Skype dla wersji 7.40 oraz wcześniejszychwystępował taki problem, i dlatego wersja te została wycofana zestrony projektu. Wersja aktualna, tj. Skype8.x, dostępna na stronie projektu od października zeszłegoroku, jest odporna na opisany wyżej atak.

Czy zatem nie ma o czym mówić? Niekoniecznie. Przede wszystkimtrzeba pamiętać, że Skype 7.40.0.151 był ostatnią natywną(win32) wersją Skype’a na klasyczne Windows. Ta nowa wersja(obecnie Skype8.15.0.4) to po prostu webowa aplikacja uruchomiona na platformieElectron/Chromium. Zkolei Skype dostępne przez sklep Microsoft Store to jeszcze cośinnego, oznaczona numerem wersji 12.1803.279.0 aplikacja uniwersalna(UWP), przeznaczona na Windows 10. Zarówno wersja „elektronowa”jak i uniwersalna są zubożone względem oryginalnej aplikacjidesktopowej i nie zdobyły większej sympatii wśród użytkowników(a może nawet wręcz przeciwnie). Trudno więc je uznać zauaktualnienia wersji 7.40.

Stara wersja Skype (wciąż przecież działająca w sieci tegokomunikatora) zainstalowana jest zapewne na dziesiątkach milionówpecetów. Czy nie stanowi zagrożenie dla ich bezpieczeństwa?Nie wydając aktualizacji, Microsoft tym samymwskazuje cyberprzestępcom potencjalny wektor ataku, który w pewnych warunkach mógłby pozwolić złośliwemu oprogramowaniu na uzyskanie najwyższychuprawnień i przez to trwałej obecności w zainfekowanych systemach.

Samo zniknięcie starego klienta ze stron Skype trudnowięc uznać za cokolwiek innego, niż próbę zamiecenia tegozagrożenia pod dywan.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (190)