Un ricercatore di sicurezza ha scoperto una grave falla all’interno del codice della nota piattaforma VoIP Skype, la stessa Microsoft sembrerebbe a conoscenza del problema ma la soluzione richiede troppo tempo.
Stefan Kanthak, il ricercatore di sicurezza informatica ha scoperto una pericolosa falla all’interno del codice sorgente di Skype Updater ovvero la funzione di Skype che permette di ricercare gli aggiornamenti più recenti del software.
Secondo quanto detto dal ricercatore, all’interno di Skype Updater è presente un enorme falla di sicurezza che se sfruttata a dovere da hacker o da malintenzionati abbastanza esperti, è vulnerabile alla tecnica del DLL hijacking permettendo a terze parti di modificare i privilegi di un account locale per ottenere i permessi di amministratore, gestendo completamente il computer.
In cosa consiste questa falla di sicurezza di Skype Updater?
La falla di sicurezza è molto pericolosa proprio perchè Skype Updater per verificare automaticamente che il software ha degli aggiornamenti disponibili, utilizza un file eseguibile: “Updater.exe”; Questo file per eseguire le sue funzioni ha bisogno dei privilegi di amministrazione perciò utilizza i privilegi “System” avendo libero accesso a tutti i permessi di amministrazione.
A sua volta, quando avviene il controllo di nuovi aggiornamenti, il file “Updater.exe” estrae un sotto programma nominato SKY.tmp all’interno della cartella %SystemRoot&\Temp\, senza chiedere nessuna autorizzazione all’utente visto che dispone dei privilegi di sistema.
Una volta estratto il programma SKY.tmp diventa attivo all’interno del sistema e proprio quest’ultimo è il programma che contiene la vulnerabilità permettendo a tutti i malintenzionati di utilizzare la sua falla per creare grossi danni al sistema operativo.
In conclusione la piattaforma di Skype tutt’ora è vulnerabile perchè, anche se il ricercatore ha tempestivamente avvisato Microsoft del bug (già dal mese di Settembre), la stessa azienda non si è ancora preoccupata di risolverlo perchè la soluzione richiederebbe troppo tempo visto che è necessario riscrivere interamente il codice sorgente per risolvere il problema in questione.
Anche se non abbiamo informazioni ufficiali da Microsoft, forse stanno lavorando al problema e rilasceranno il fix insieme ad un grosso aggiornamento dell’applicazione dove inseriranno anche ulteriori funzionalità, per il momento è consigliato a tutti gli utenti di prestare attenzione nell’utilizzo di Skype Updater e cercare di bloccare gli aggiornamenti della piattaforma oppure rimandarli più tempo possibile, sperando che Microsoft prenda in considerazione il problema e rilasci il prima possibile una soluzione.
Rimanete aggiornati su Tuttoinformatico con le ultime news: