Falha de segurança no Skype não será corrigida por enquanto, mas calma

skype

Outro dia, outra vulnerabilidade descoberta em um software que todo mundo usa. O alvo da semana é o Skype, ao ser revelada uma falha de segurança que embora não seja tão simples de ser explorada, é bastante grave e pode fornecer o acesso irrestrito de um PC Windows, Mac ou Linux a um hacker.

Só que a Microsoft não vai corrigir a falha de imediato, por uma série de fatores e se analisarmos as circunstância, tal decisão faz sentido.

O bug foi descoberto pelo analista de segurança Stefan Kanthak e consiste em um método nada simples de exploração para que ele funcione: é preciso utilizar uma tática de DLL Hijacking, que consiste em enganar o executável de instalação para que ele use o código malicioso ao invés da biblioteca original. Basta que ele instale, remota ou localmente um arquivo .dll infectado em uma pasta temporária e renomeá-lo para um arquivo com nome legítimo, que pode ser modificado por um usuário sem privilégios. Assim, quando o instalador for executado ele procurará o arquivo normal e executará o malicioso em seu lugar, instalando assim os códigos que o hacker precisa para invadir a máquina sem restrições.

Ainda que o método primariamente afete mais o Windows, Kanthak afirma que as versões para macOS e Linux são igualmente vulneráveis e podem ser hackeadas de formas similares, ainda que todos os métodos não sejam muito simples de serem executados. É preciso que o atacante tenha acesso direto ao computador, seja de forma física ou remota e execute alterações que podem ser percebidas pelo usuário, logo, embora seja um bug crítico ele não está sendo encarado pela Microsoft como uma prioridade.

A companhia foi notificada por Kanthak, reproduziu o bug e constatou sua veracidade e a extensão dos possíveis danos, mas em nota afirma que não pretende apresentar um patch de correção por dois motivos: primeiro, criá-lo seria deveras trabalhoso, já que seria preciso reescrever todo o código do sistema de atualização do Skype; segundo, como já dito o método para explorar a falha é bastante complexo e isso minimiza a necessidade de correr para apresentar uma correção.

A Microsoft informa que o problema será sanado apenas em uma futura versão do Skype, mas que já deslocou recursos para fazê-lo e adiantar o processo. Assim, os usuários terão sim que conviver sabendo que o bug está lá ao menos até o software ser atualizado, mas se serve de consolo já vimos falhas bem mais graves e urgentes afetarem principalmente o Windows, o macOS ou o Linux.

Portanto, a dica de ouro permanece: não dê mole.

Fonte: ZDNet.

Relacionados: , , , , , , , , , , , ,

Autor: Ronaldo Gogoni

Profissional de TI auto-didata, blogueiro que acha que é jornalista e careca por opção. Autor do Meio Bit e Portal Deviante, podcaster/membro fundador/Mestre Ancião do SciCast e host/podcaster do Sala da Justiça.

Compartilhar