Kritični nedostatak sigurnosti Skypea dovodi vas u rizik, ali Microsoft to neće riješiti

Video razgovori licem u lice s ljudima na pola puta svijeta nekada su bili striktno znanstvena fantastika. Tko bi ikada pomislio da će usluge poput Skype-a predstaviti ovu tehnologiju široj javnosti? Nevjerojatno je pomisliti da su televizijski razgovori Star Trek i Povratak u budućnost sada toliko uobičajeni.

To je tako uobičajeno da je Skype bitna platforma za video chat za milione ljudi. Ako postavljate mrežni video chat, postoji velika šansa da ćete koristiti Skype. To je ime koje je toliko sinonim za video chat, da je 'Skyping' sada prihvaćen izraz.

Međutim, kad god su usluge poput ovih popularne, cyber-kriminalci će uvijek tražiti rupe u softveru koje mogu iskoristiti. Na proizvođaču softvera je da ih zakrpite što prije.



To je razlog zašto je ovaj novootkriveni nedostatak Skype-a nešto što trebate znati i zašto uskoro nećemo dobiti zakrpu.

Propust u sigurnosti Skypea

Propust o kojem govorim je sigurnosna pogreška u postupku ažuriranja Skypea. Toliko je kritično da ako haker može iskoristiti potpunu kontrolu nad vašim računalom.

Propust je otkrio istraživač sigurnosti Stefan Kanthak i rekao je da je sve potrebno samo jedan trik za otmicu DLL datoteka.

Bilješka: DLL znači 'Dynamic Link Libraries.' Ovo su važne sistemske datoteke sustava Windows koje programi koriste za upute.

U osnovi, sve što napadač treba učiniti jest preuzeti lažnu DLL datoteku u privremenu mapu dostupnu korisniku (na primjer,% SystemRoot% Temp) zatim ga preimenujte u postojeću DLL datoteku kojoj može pristupiti bilo tko (na primjer, UXTheme.dll).

Zbog načina na koji Windows Search funkcionira nakon što se DLL prebaci, svaka aplikacija koja pretraži tu DLL datoteku prvo će pronaći lažnu mapu u mapi Temp.

Sada, kada se Skype ažurira, koristi se zaseban program za pokretanje ažuriranja. Ovaj program ažuriranja ranjiv je za otmicu DLL-a. Napadač tada može iskoristiti tu manu da bi učitao zlonamjerni kod i stekao potpunu kontrolu nad Windows strojem.

Uz stečene privilegije za cijeli sustav napadač tada može raditi sve vrste gadnih stvari, uključujući krađu datoteka, brisanje datoteka i instaliranje više zlonamjernog softvera poput ransomwarea.

Zašto Microsoft to neće popraviti

Kanthak je izjavio da je Microsoft već obavijestio o pogrešci u rujnu, no softverski div rekao je da neće popraviti problem jer će zahtijevati 'veliku reviziju koda'.

Iako su Microsoftovi inženjeri uspjeli replicirati eksploataciju, smatraju da je prijetnja niskog rizika i ispravka će umjesto toga biti uključena u 'novije verzije proizvoda, a ne sigurnosne nadogradnje'.

Microsoft je rekao da ulaže sve svoje resurse u izgradnju 'novog klijenta'. Dakle, to znači da ćemo morati pričekati sljedeće veliko ažuriranje Skype-a prije nego što se ovaj bug riješi.

Kada će Microsoft izdati ovaj potpuno novi Skype klijent? Trenutno se još uvijek ne zna vremenska linija.

U međuvremenu, slijedite uobičajene mjere računalne sigurnosti i trebali biste biti u redu.

Budite oprezni s vezama i datotekama i programima koje preuzmete ili instalirate niti treba priključivati ​​nepoznate USB pogone. Uvijek zaključajte računalo kad ga ne koristite. Držite se podalje od skromnih web stranica i internetskih oglasa. Koristite 'standardni' račun, a ne 'administrator' račun za svakodnevnu upotrebu. Imajte jak antivirusni softver i sigurnu sigurnosnu kopiju datoteka (poput Vozim.)

Psst! Kliknite ovdje i sjetite se koristiti promo kôd Kim za dobivanje 50% popusta IDrive!

U međuvremenu, američke obavještajne agencije upozoravaju na korištenje ovog kineskog pametnog telefona

Kada je riječ o svijetu pametnih telefona, vaša prva odluka mogla bi biti najteža. To je da li želite biti Apple ili Android korisnik. Ako idete s Androidom, imat ćete izbora tona proizvođača telefona. Međutim, američke obavještajne agencije upozoravaju potrošače da posebno ne koriste jednu kinesku marku.