Эксперт по кибербезопасности Стивен Кантак обнаружил серьезную уязвимость в Skype, с помощью которой злоумышленник может как украсть данные с компьютера, так и полностью захватить над ним управление.

Как работает 

Skype имеет свой собственный механизм обновления, и во время обновления программу можно обмануть довольны простой заменой вредоносного DLL файла на установочный. Как говорит Кантак, взломщик может просто загрузить вредоносный DLL во временную директорию, а затем назвать его именем реально существующего файла вроде UXTheme.dll. А дальше все ограничивается лишь фантазией и нуждами хакера.

Насколько это серьезно

Плохо номер один — по словам Кантака эту же уязвимость можно использовать не только на Win, но и на macOS и Linux. Плохо номер два — эксперт уведомил Microsoft о проблеме еще в сентябре 2017 года. Из Microsoft ответили, что они видят баг, но не могут залатать его т. к. для этого придется чуть ли не писать код с нуля. Поэтому уязвимость устранили в новом клиенте восьмой версии Skype, но это была та самая версия с редизайном под Snapchat, от которой многие старые пользователи Skype поспешно отказались (посмотрите отзывы в Microsoft Store). И остались на «семерке», которую Microsoft не может защитить.

Источник: ZDNet