Nie ma oprogramowania bez błędów, po prostu o nich nie wiemy. Gdy już pojawi się jakiś zgłoszenie, należy jak najszybciej się nim zająć i naprawić problem. Skype pokazuje jednak, że nie zawsze jest to takie proste, jak mogłoby się wydawać.
Jak to działa?
Problem dotyczy modułu aktualizacji komunikatora Skype. Do wykonania ataku wystarczy podmienić plik DLL w folderze z programem. W zamian otrzymujemy możliwość podniesienia uprawnień do najwyższych, a więc całkowitego przejęcia kontroli na komputerem. W tym momencie otwiera się droga do instalacji dowolnego oprogramowania (np. ransomware) lub nieograniczonej kradzieży danych.
Błąd, którego nie da się naprawić
Luka została zgłoszona dość dawno temu, bo 2 września. Minął już czas na naprawę, a więc poznaliśmy szczegóły problemu. Nie jest to wygodna sytuacja dla Microsoftu, ponieważ mimo powagi sytuacji nie zamierza on naprawiać błędu. Problem polega na tym, że załatanie luki wymaga ogromu pracy i przejrzenia dużej ilości kodu. Prościej będzie napisać klienta od nowa. Niestety, oba rozwiązania mają poważną wadę – na klienta bez opisywanej dziury będziemy musieli bardzo długo czekać.
Kto jest zagrożony, jak się bronić?
Na atak podatni są użytkownicy Skype nie tylko na Windowsa, ale także na Linuksa i macOS. To pokazuje, że choć 2 ostatnie systemy są dość bezpieczne, to wszystko może zniszczyć wadliwa aplikacja od deweloperów trzecich. Warto tu zaznaczyć, że atak na Linuksie i macOS przebiega nieco inaczej, jednak pozwala na mniej więcej tyle samo. Niestety, ale przed tym błędem ciężko się obronić. Microsoft nie stworzył nawet żadnego tymczasowego zabezpieczenia. Zamiast tego cały zespół odpowiedzialny za komunikator Skype pracuje nad wydaniem nowej wersji, a przynajmniej tak twierdzi Microsoft.
Koszmar każdego dewelopera…
…i użytkownika. Korzystanie z komunikatora Skype jest niebezpieczne, co może dla Microsoftu oznaczać jedno – utratę użytkowników. Normalnie nikt by się o tym nie dowiedział, problem zostałby załatany w ciągu kilku tygodni, a ujawnionymi przez odkrywcę danymi nikt by się nie zainteresował. Ponad to kolejnym problemem są tu koszty – zespół odpowiedzialny za komunikator od kilku miesięcy pracuje nad nową wersją, której głównym celem jest załatanie błędu. Oznacza to ogromne pieniądze wyrzucone na coś, co nie przełoży się na nową funkcjonalność. Nie jest to również dobra informacja dla użytkowników. Dalsze korzystanie ze Skype’a to ryzyko, z drugiej strony nikt nie chciałby namawiać swoich rozmówców na zmianę komunikatora, zawsze oznacza to duży problem. Miejmy nadzieję, że prace nad nowym Skype’em są już na ukończeniu i niedługo zostanie zaprezentowana nowa, wolna od błędów wersja.
Źródło: ZDNet