В Microsoft не собираются устранять обнаруженную ещё осенью уязвимость в приложении Skype. Разработчики считают, что проще переписать код и выпустить новое приложение, чем выпускать обновление для существующих версий.
Суть проблемы описывается следующим образом:
"В течение двух-трех лет Microsoft предлагает Skype в качестве дополнительного обновления для Windows/Microsoft Update…
После установки Skype использует собственный механизм обновления вместо Windows/Microsoft Update: Skype периодически запускает "% ProgramFiles%\Skype\Updater\Updater.exe" под учетной записью SYSTEM. Когда обновление доступно, Updater.exe копирует/извлекает другой исполняемый файл в "% SystemRoot%\Temp\SKY <abcd>.tmp" и выполняет его с помощью командной строки "% SystemRoot%\Temp\SKY <abcd>.tmp"/QUIET
Этот исполняемый файл уязвим для захвата DLL: он загружает UXTheme.dll из своего каталога приложений % SystemRoot%\Temp\ вместо аналога из системного каталога Windows.
Непривилегированный (локальный) пользователь, у которого есть возможность разместить UXTheme.dll или любую другую DLL, заражённую уязвимым исполняемым файлом, в % SystemRoot%\Temp\, получает расширение привилегий в учётной записи SYSTEM".
Поначалу считалось, что для использования уязвимости злоумышленник должен иметь физический доступ к устройству, но потом выяснилось, что достаточно любого доступа к файловой системе.
Уязвимость в работе Skype обнаружил Stefan Kanthak, который 2 сентября сообщил об этом в Microsoft, получив уведомление, что отчет отправлен в группу по безопасности. В октябре компания прислала ответ:
"Специалисты изучили код и смогли воспроизвести проблему, однако определили, что исправления будут внесены в новой версии продукта, а не в обновлениях безопасности. Команда планирует выпустить новую версию клиента, а текущий вариант будет признан устаревшим. Установщику требуется большая ревизия кода, но все ресурсы будут направлены на развитие нового клиента".
Получив ответ, Стефан уже в феврале текущего года опубликовал свои исследования. После интервью с ним издание ZDNet получило от Microsoft подтверждение наличия проблемы. Но для её решения потребуется полная проверка кода, которая, вероятно, не будет выполняться вследствие трудоёмкости процесса. Поэтому разработчики рекомендуют просто дождаться новой версии и обновить свой клиент.
