مایکروسافت آسیب پذیری حیاتی در نرم‌افزار اسکایپ را به ‌زودی وصله نخواهد کرد

 

 

یک آسیب پذیری حیاتی در نرم افزار اسکایپ، سرویس پیام رسانی و تماس صوتی رایگان و بسیار محبوب متعلق به مایکروسافت کشف شده است که با اعطای امتیازات سطح سیستم به یک کاربر محلی و غیرمجاز، کنترل کامل دستگاه قربانی را در اختیار مهاجمان قرار می دهد.


بدترین قسمت موضوع این است که مایکروسافت، این آسیب پذیری را به زودی وصله نخواهد کرد، نه به این دلیل که این آسیب پذیری قابل وصله شدن نباشد، بلکه به این علت که رفع این آسیب‌پذیری به یک بازنویسی قابل‌توجه نرم‌افزاری نیاز دارد، که نشان می‌دهد این شرکت نه تنها به یک وصله، بلکه به انتشار یک نسخه‌ی کاملا جدید از اسکایپ نیاز دارد. این آسیب‌پذیری که توسط محقق امنیتی استیفان کانتاک، شناسایی و به مایکروسافت گزارش شده است و در نصب‌کننده‌ی به‌روزرسانی اسکایپ وجود دارد، به سرقت کتابخانه‌های پیوند پویا (DLL) می‌پردازد.


به گفته‌ی این محقق، مهاجم می‌تواند از قابلیت بارگذاری DLL ویندوز بهره‌برداری کند که در این فرآیند بارگیری DLL، ابتدا DLLهایی را جستجو می‌کند که در همان دایرکتوری که فایل باینری فرآیند وجود دارد و سپس در سایر دایرکتوری‌ها DLL های دیگر بارگذاری می‌شوند. بهره‌برداری از این فرآیند جستجو به مهاجم اجازه می‌دهد تا فرآیند به‌روزرسانی را با دانلود یک نمونه‌ی مخرب از DLL و جایگذاری آن با فایل قانونی را انجام دهد. هنگامی که نصب‌کننده‌ی به‌روزرسانی اسکایپ سعی در پیدا کردن فایل DLL مربوطه دارد، در ابتدا DLL مخرب را پیدا کرده و در نتیجه، کد مخرب را نصب خواهد کرد.


اگرچه این محقق امنیتی این حمله را با استفاده از نسخه‌ی ویندوز اسکایپ نشان داده ولی او معتقد است که همان روش ربودن DLL، می‌تواند در برابر سایر سیستم عامل‌ها، از جمله نسخه‌های اسکایپ برای سیستم عامل مک و لینوکس نیز به‌کار رود. این محقق اعلام کرد این آسیب‌پذیری در اسکایپ را در ماه سپتامبر به مایکروسافت اطلاع داده است، اما این شرکت به او گفته که وصله کردن این آسیب‌پذیری، به بازنگری‌های زیادی در کد نصب‌کننده‌ی به‌روزرسانی اسکایپ نیاز دارد.


بنابراین، به‌جای انتشار یک به‌روزرسانی امنیتی، مایکروسافت تصمیم به ساخت نسخه جدیدی از کارخواه اسکایپ دارد که در آن، این آسیب‌پذیری رفع خواهد شد. لازم به ذکر است که این آسیب‌پذیری تنها نسخه‌ی دسکتاپ اسکایپ را تحت تاثیر قرار داده و از نصب‌کننده‌ی به‌روزرسانی آن که نسبت به روش ربودن DLL آسیب‌پذیر است، استفاده می‌کند. نسخه‌ی بستر جهانی ویندوز (UWP) این برنامه، از طریق فروشگاه مایکروسافت برای رایانه‌های شخصی با ویندوز ۱۰ که تحت تاثیر قرار نگرفته‌اند، موجود می‌باشد.


تا زمانی‌که این شرکت نسخه‌ی کاملا جدیدی از کارخواه اسکایپ را منتشر کند، به کاربران توصیه می‌شود که احتیاط کرده و از کلیک کردن بر روی پیوست‌ها در ایمیل خودداری کنند. همچنین اطمینان حاصل کنید که ضدبدافزار مناسب و به‌روزرسانی شده را که برخی از روش‌های دفاع در برابر چنین حملاتی را ارائه می‌دهند، اجرا می‌کنید.

 

منبع

پست‌های مشابه

Leave a Comment