通讯软件 Skype 在更新程式上出现严重的安全漏洞,让骇客在未经防护的电脑中获取完全的系统权限,可更改系统内每一个角落的设定。微软表示,因修复工作涉及大量程式码,会在新一个版本 Skype 才会为漏洞进行修复,而并不会独立推出保安更新。
这次 Skype 漏洞由资讯安全技术人员 Stefan Kanthak 发现,他指出骇客可将恶意 DLL 档案放到临时资料夹,再将恶意档案重新命名为现有的 DLL 档案,当 Skype 更新程式时,便会执行恶意代码,而非执行原本的档案。
当 Skype 完成安装,该程式就会透过内建的更新程序来自动更新,而更新方法是透过执行另一个文件进行,这个文件就成为了主要的漏洞。 专家警告,这个漏洞十分危险,而且很容易被骇客当成武器。他表示,只需透过两条指令,就可将恶意程式导入至 Skype 的更新文件资料夹。
而且,这种攻击并不只影响 Windows 用户,对苹果及 Linux 同样危险。而一旦骇客取得系统权限,就可以删除或窃取数据,更可进行勒索。Kanthak 早在 2017 年 9 月向微软报告这个漏洞。微软表示将会在 Skype 新版本推出时同时修复,但不会推出安全更新。
- Skype can’t fix a nasty security bug without a massive code rewrite
(本文由 Unwire HK 授权转载;首图来源:shutterstock)
