Scoperto un gravissimo bug su Skype: sviluppatori chiedono riscrittura del sorgente
Il ricercatore Stefan Kanthak ha scoperto un gravissimo bug per il servizio di VoIP di Microsoft, Skype, al punto che è arrivato a chiedere la riscrittura completa del codice dell'applicazione. Secondo lo stesso Kanthak, l'aggiornamento per l'applicazione sarebbero stato riscontrato vulnerabile alla tecnica DDL hijacking, anche su MacOS e Linux.
La falla, se sfruttata, potrebbe permettere ad un normale utente di ottenere i privilegi completi di super admin del sistema operativo, che potrebbe controllare completamente.
In parole povere, un qualsiasi utente malintenzionato potrebbe scaricare una DDL modificata per inserirla in una cartella temporanea dell'applicazione, come ad esempio UXTheme.ddl. A questo punto Skype dal suo canto cercherebbe quella determinata libreria, rendendo quindi sfruttabile la falla.
Una volta installato, infatti, Skype utilizza il proprio updater integrato per tenere aggiornato il software. Quando viene eseguito il programma di aggiornamento, utilizza un altro file eseguibile, che è vulnerabile alla tecnica di DDL hijacking. Kanthak, in una mail ricevuta da ZDNET, sostiene che l'attacco è facilmente eseguibile, e per questo motivo ha chiesto a Microsoft la completa riscrittura del codice dell'applicazione. Il ricercatore ha spiegato, fornendo due esempi, come uno uno script o malware possa trasferire a distanza una DDL dannosa nella cartella temporanea di cui vi abbiamo parlato prima.
La cosa particolarmente preoccupante è rappresentata dal fatto che, sebbene "Windows offra diversi modi per farlo", questo sistema può essere applicato anche alla versione Mac e Linux dell'applicazione.
Kanthak ha informato Microsoft del bug lo scorso Settembre, ma la compagnia di Satya Nadella ha risposto che la correzione del bug richiederebbe una massiccia riscrittura del codice dell'update, il che vuol dire che il fix non può arrivare attraverso un semplice aggiornamento dell'applicazione. Probabilmente, quindi, la società americana provvederà ad implementarlo in qualche futura major release.
ZDNET ha provato a contattare direttamente la società per ottenere qualche comunicato ufficiale sulla questione, ma non è arrivata alcuna risposta.
FONTE: ZDNET
Rimani aggiornato seguendoci su Google News!
Unisciti all'orda: la chat telegramper parlare di videogiochi
Altri contenuti per Skype
- Skype, arriva app nativa su Mac M1 e M2: è velocissima!
- Skype cambierà radicalmente: tutti i dettagli del futuro restyling
- Skype, grandi novità in arrivo: cancellazione attiva del rumore e più privacy per tutti
- Skype si aggiorna aggiungendo sfondi personalizzati alle videochiamate
- Ora non è più necessario un account Skype per effettuare videochiamate
Skype
Contenuti più Letti
- 2 commentiIPTV e pezzotto, hackerata Piracy Shield: "è uno strumento di censura mascherato"
- Apple lancia un aggiornamento totalmente inaspettato: iOS 17.4.1 versione 2 disponibile
- Devo cambiare decoder per vedere il nuovo digitale terrestre?
- Amazon ESAGERA sullo smartphone Blackview Shark8: ecco il coupon sconto 50%
- Il prossimo Apple Watch sarà rivoluzionato: 3 novità che lo cambieranno per sempre
- Il 95% degli utenti che prova a risolvere questo test del QI si arrende
- 2 commentiQuesta illusione ottica nasconde un'animale e pochi riescono a trovarlo
- C'è una brutta notizia sui taglieri che hai bisogno di sapere
- 1 commentiScoperti insetti giganti 'mangiatori di dita' che infestano queste acque
- Addio a Daniel Kahneman, morto "lo psicologo più influente al mondo"