Falha de segurança no Skype não será corrigida por enquanto, mas calma
Falha de segurança grave no Skype afeta Windows, macOS e Linux mas não só explorá-la é bastante complicado, como a Microsoft só vai corrigir o bug na próxima versão do software. E isso tem um certo sentido.
Ronaldo Gogoni 5 anos atrás
Outro dia, outra vulnerabilidade descoberta em um software que todo mundo usa. O alvo da semana é o Skype, ao ser revelada uma falha de segurança que embora não seja tão simples de ser explorada, é bastante grave e pode fornecer o acesso irrestrito de um PC Windows, Mac ou Linux a um hacker.
Só que a Microsoft não vai corrigir a falha de imediato, por uma série de fatores e se analisarmos as circunstância, tal decisão faz sentido.
O bug foi descoberto pelo analista de segurança Stefan Kanthak e consiste em um método nada simples de exploração para que ele funcione: é preciso utilizar uma tática de DLL Hijacking, que consiste em enganar o executável de instalação para que ele use o código malicioso ao invés da biblioteca original. Basta que ele instale, remota ou localmente um arquivo .dll infectado em uma pasta temporária e renomeá-lo para um arquivo com nome legítimo, que pode ser modificado por um usuário sem privilégios. Assim, quando o instalador for executado ele procurará o arquivo normal e executará o malicioso em seu lugar, instalando assim os códigos que o hacker precisa para invadir a máquina sem restrições.
Ainda que o método primariamente afete mais o Windows, Kanthak afirma que as versões para macOS e Linux são igualmente vulneráveis e podem ser hackeadas de formas similares, ainda que todos os métodos não sejam muito simples de serem executados. É preciso que o atacante tenha acesso direto ao computador, seja de forma física ou remota e execute alterações que podem ser percebidas pelo usuário, logo, embora seja um bug crítico ele não está sendo encarado pela Microsoft como uma prioridade.
A companhia foi notificada por Kanthak, reproduziu o bug e constatou sua veracidade e a extensão dos possíveis danos, mas em nota afirma que não pretende apresentar um patch de correção por dois motivos: primeiro, criá-lo seria deveras trabalhoso, já que seria preciso reescrever todo o código do sistema de atualização do Skype; segundo, como já dito o método para explorar a falha é bastante complexo e isso minimiza a necessidade de correr para apresentar uma correção.
A Microsoft informa que o problema será sanado apenas em uma futura versão do Skype, mas que já deslocou recursos para fazê-lo e adiantar o processo. Assim, os usuários terão sim que conviver sabendo que o bug está lá ao menos até o software ser atualizado, mas se serve de consolo já vimos falhas bem mais graves e urgentes afetarem principalmente o Windows, o macOS ou o Linux.
Portanto, a dica de ouro permanece: não dê mole.
Fonte: ZDNet.
