Meio Bit » Arquivo » Segurança » Falha de segurança no Skype não será corrigida por enquanto, mas calma

Falha de segurança no Skype não será corrigida por enquanto, mas calma

Falha de segurança grave no Skype afeta Windows, macOS e Linux mas não só explorá-la é bastante complicado, como a Microsoft só vai corrigir o bug na próxima versão do software. E isso tem um certo sentido.

6 anos atrás

skype

Outro dia, outra vulnerabilidade descoberta em um software que todo mundo usa. O alvo da semana é o Skype, ao ser revelada uma falha de segurança que embora não seja tão simples de ser explorada, é bastante grave e pode fornecer o acesso irrestrito de um PC Windows, Mac ou Linux a um hacker.

Só que a Microsoft não vai corrigir a falha de imediato, por uma série de fatores e se analisarmos as circunstância, tal decisão faz sentido.

O bug foi descoberto pelo analista de segurança Stefan Kanthak e consiste em um método nada simples de exploração para que ele funcione: é preciso utilizar uma tática de DLL Hijacking, que consiste em enganar o executável de instalação para que ele use o código malicioso ao invés da biblioteca original. Basta que ele instale, remota ou localmente um arquivo .dll infectado em uma pasta temporária e renomeá-lo para um arquivo com nome legítimo, que pode ser modificado por um usuário sem privilégios. Assim, quando o instalador for executado ele procurará o arquivo normal e executará o malicioso em seu lugar, instalando assim os códigos que o hacker precisa para invadir a máquina sem restrições.

Ainda que o método primariamente afete mais o Windows, Kanthak afirma que as versões para macOS e Linux são igualmente vulneráveis e podem ser hackeadas de formas similares, ainda que todos os métodos não sejam muito simples de serem executados. É preciso que o atacante tenha acesso direto ao computador, seja de forma física ou remota e execute alterações que podem ser percebidas pelo usuário, logo, embora seja um bug crítico ele não está sendo encarado pela Microsoft como uma prioridade.

A companhia foi notificada por Kanthak, reproduziu o bug e constatou sua veracidade e a extensão dos possíveis danos, mas em nota afirma que não pretende apresentar um patch de correção por dois motivos: primeiro, criá-lo seria deveras trabalhoso, já que seria preciso reescrever todo o código do sistema de atualização do Skype; segundo, como já dito o método para explorar a falha é bastante complexo e isso minimiza a necessidade de correr para apresentar uma correção.

A Microsoft informa que o problema será sanado apenas em uma futura versão do Skype, mas que já deslocou recursos para fazê-lo e adiantar o processo. Assim, os usuários terão sim que conviver sabendo que o bug está lá ao menos até o software ser atualizado, mas se serve de consolo já vimos falhas bem mais graves e urgentes afetarem principalmente o Windows, o macOS ou o Linux.

Portanto, a dica de ouro permanece: não dê mole.

Fonte: ZDNet.

relacionados


Comentários