یک آسیب پذیری حیاتی در نرم افزار اسکایپ، سرویس پیام رسانی و تماس صوتی رایگان و بسیار محبوب متعلق به مایکروسافت کشف شده است که با اعطای امتیازات سطح سیستم به یک کاربر محلی و غیرمجاز، کنترل کامل دستگاه قربانی را در اختیار مهاجمان قرار می دهد.
بدترین قسمت موضوع این است که مایکروسافت، این آسیب پذیری را به زودی وصله نخواهد کرد، نه به این دلیل که این آسیب پذیری قابل وصله شدن نباشد، بلکه به این علت که رفع این آسیبپذیری به یک بازنویسی قابلتوجه نرمافزاری نیاز دارد، که نشان میدهد این شرکت نه تنها به یک وصله، بلکه به انتشار یک نسخهی کاملا جدید از اسکایپ نیاز دارد. این آسیبپذیری که توسط محقق امنیتی استیفان کانتاک، شناسایی و به مایکروسافت گزارش شده است و در نصبکنندهی بهروزرسانی اسکایپ وجود دارد، به سرقت کتابخانههای پیوند پویا (DLL) میپردازد.
به گفتهی این محقق، مهاجم میتواند از قابلیت بارگذاری DLL ویندوز بهرهبرداری کند که در این فرآیند بارگیری DLL، ابتدا DLLهایی را جستجو میکند که در همان دایرکتوری که فایل باینری فرآیند وجود دارد و سپس در سایر دایرکتوریها DLL های دیگر بارگذاری میشوند. بهرهبرداری از این فرآیند جستجو به مهاجم اجازه میدهد تا فرآیند بهروزرسانی را با دانلود یک نمونهی مخرب از DLL و جایگذاری آن با فایل قانونی را انجام دهد. هنگامی که نصبکنندهی بهروزرسانی اسکایپ سعی در پیدا کردن فایل DLL مربوطه دارد، در ابتدا DLL مخرب را پیدا کرده و در نتیجه، کد مخرب را نصب خواهد کرد.
اگرچه این محقق امنیتی این حمله را با استفاده از نسخهی ویندوز اسکایپ نشان داده ولی او معتقد است که همان روش ربودن DLL، میتواند در برابر سایر سیستم عاملها، از جمله نسخههای اسکایپ برای سیستم عامل مک و لینوکس نیز بهکار رود. این محقق اعلام کرد این آسیبپذیری در اسکایپ را در ماه سپتامبر به مایکروسافت اطلاع داده است، اما این شرکت به او گفته که وصله کردن این آسیبپذیری، به بازنگریهای زیادی در کد نصبکنندهی بهروزرسانی اسکایپ نیاز دارد.
بنابراین، بهجای انتشار یک بهروزرسانی امنیتی، مایکروسافت تصمیم به ساخت نسخه جدیدی از کارخواه اسکایپ دارد که در آن، این آسیبپذیری رفع خواهد شد. لازم به ذکر است که این آسیبپذیری تنها نسخهی دسکتاپ اسکایپ را تحت تاثیر قرار داده و از نصبکنندهی بهروزرسانی آن که نسبت به روش ربودن DLL آسیبپذیر است، استفاده میکند. نسخهی بستر جهانی ویندوز (UWP) این برنامه، از طریق فروشگاه مایکروسافت برای رایانههای شخصی با ویندوز ۱۰ که تحت تاثیر قرار نگرفتهاند، موجود میباشد.
تا زمانیکه این شرکت نسخهی کاملا جدیدی از کارخواه اسکایپ را منتشر کند، به کاربران توصیه میشود که احتیاط کرده و از کلیک کردن بر روی پیوستها در ایمیل خودداری کنند. همچنین اطمینان حاصل کنید که ضدبدافزار مناسب و بهروزرسانی شده را که برخی از روشهای دفاع در برابر چنین حملاتی را ارائه میدهند، اجرا میکنید.
