La falla in Skype che Microsoft non correggerà

Sicuramente non in tempi brevi.



[ZEUS News - www.zeusnews.it - 15-02-2018]

falla skype

Stephan Kanthak è un esperto di sicurezza che lo scorso settembre ha scoperto in Skype una falla piuttosto seria, e l'ha diligentemente segnalata a Microsoft.

Kanthak spiega che un malintenzionato potrebbe sfruttare «la funzionalità del loader delle Dll di Windows che si attiva quando il processo che carica le Dll cerca le librerie da caricare innanzitutto nella medesima directory in cui il processo binario risiede, e solo dopo in altre directory». L'articolo continua qui sotto.

Sondaggio
Quando fai la spesa, qual è tra questi il profilo in cui ti ritrovi maggiormente?
Vado dritto verso quello che devo comprare e non perdo tempo: guardo solo le caratteristiche del prodotto e quanto costa.
Leggo sempre attentamente le etichette dei prodotti.
Per me gli acquisti sono necessari per una vita piena e appagante.
Per me il prezzo è più importante della marca.
Preferisco essere servito piuttosto che servirmi da solo.

Mostra i risultati (1764 voti)
Leggi i commenti (4)
Questa modo di eseguire la ricerca può essere adoperato per ingannare il sistema di aggiornamento di Skype.

Il primo passo consiste nel posizionare una versione malevola di una Dll all'interno di una cartella temporanea e assegnandole il nome di una Dll legittima, che possa essere modificata da qualsiasi utente senza privilegi.

Consigliamo la lettura di:
Cortana ficca il naso nelle chat via Skype
Si suicida in diretta su Skype e la gente fa il tifo
Skype, i nuovi supernodi non servono a spiare
Il governo cinese spia le chat di Skype

Quando il processo di aggiornamento di Skype cerca la Dll di cui ha bisogno scopre la libreria malevola e la adopera invece di proseguire la ricerca fino a trovare quella legittima. In questo modo è possibile ottenere i privilegi dell'utente di sistema System, che con i quali si ha il pieno controllo del Pc.

Kanthak ha testato e dimostrato il sistema con la versione di Skype per Windows, ma afferma che esso dovrebbe funzionare anche con le versioni per Linux e macOS.

Per quanto riguarda gli utenti di Windows, però, è importante fare una precisazione: la minaccia può essere sfruttata soltanto sui computer che eseguono l'app desktop, che adopera un programma di aggiornamento vulnerabile. L'app Uwp (Universal Windows Platform), disponibile per Windows 10 sul Microsoft Store, è invece immune.

In ogni caso, Microsoft dovrebbe fare qualcosa, tanto più che è stata informata del pericolo mesi fa.

C'è però un problema: l'azienda di Redmond ha riconosciuto la falla, ma ha spiegato a Kanthak che l'unico modo di risolverla è «una massiccia revisione del codice di Skype».

In altre parole, non ci sarà mai una correzione che potrà essere distribuita come aggiornamento di sicurezza del software: dovrà invece far parte di una versione tutta nuova, nell'attesa della quale gli utenti di Skype per desktop restano vulnerabili.

Dato che non è possibile sapere quando Microsoft finalmente rilascerà la versione corretta, nell'attesa gli utenti dovranno porre particolare attenzione e mettere in atto con ancora maggiore cautela tutti i noti consigli per la sicurezza, a partire dall'evitare di cliccare sugli allegati che arrivano via email.

Ti invitiamo a leggere la pagina successiva di questo articolo:
No, Skype non ha una falla gravissima e Microsoft ''non vuole rimediare''

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

ilmanowar
La soluzione che io uso per altri motivi: a parte non usare Skype, usare Pidgin con il plugin per Skype per le conversazioni testuali, mentre per le chiamate un telefono Android.
15-2-2018 12:17
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
In quale modo la Rete ti assiste di più per risparmiare?
Trovare gli stessi prodotti disponibili offline, ma a un prezzo inferiore
Accedere a beni introvabili nei negozi solitamente frequentati
Acquistare prodotti altrimenti inaccessibili senza sconti e promozioni online

Mostra i risultati (1979 voti)
Settembre 2023
n. 3742 del 21-09-2023
X (ex Twitter), tutti gli utenti dovranno pagare
n. 3741 del 16-09-2023
iPhone 15, il connettore USB-C è zoppo
n. 3740 del 12-09-2023
Il bug di Windows che rende velocissimo Esplora File
n. 3739 del 07-09-2023
Lidl, merendine ritirate: invitavano a visitare sito porno
n. 3738 del 04-09-2023
Meta pensa a Instagram e Facebook a pagamento nella UE
Agosto 2023
n. 3737 del 31-08-2023
Chrome, nuova interfaccia: ecco come abilitarla
n. 3736 del 27-08-2023
L'Internet delle brutte Cose
n. 3735 del 24-08-2023
LibreOffice balza dalla versione 7.6 alla 24.2
n. 3734 del 23-08-2023
X (ex Twitter), anni di contenuti spariti nel nulla
n. 3733 del 20-08-2023
Ford agli utenti: spegnete il Wi-Fi dell'auto
n. 3732 del 16-08-2023
Sony e Universal contro i 78 giri dell'Internet Archive
n. 3731 del 12-08-2023
Meloni decide la nazionalizzazione di TIM
n. 3730 del 10-08-2023
Da Z-Library un'estensione per aggirare i blocchi
n. 3729 del 07-08-2023
Da Microsoft uno strumento che attiva le funzioni nascoste di Windows 11
n. 3728 del 03-08-2023
Canone TV, dalla bolletta della luce ai telefonini?
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 21 settembre
2022
Windows 11, l'aggiornamento 2022 Update è già disponibile
2021
Allora, i messaggi di WhatsApp sono cifrati e privati o no?
2020
Tesla lanciata in autostrada a 140 km/h, il guidatore dormiva
2019
Il feature phone di Nokia con Android 8.1
2017
Equifax: aggiornamenti sul disastro informatico, incompetenze incredibili
2016
Brein: ''Vietati nell'UE i set top box pirata con Kodi''
2015
WhatsApp, occhio alle app ricattatrici su Android
2014
Chiude Italia.it, costato 60 milioni di euro
2013
Non nominare i siti di streaming invano
2012
Assange o Zuckerberg?
2011
In Parlamento il disegno di legge contro il peer to peer
2010
Chrome 7 sarà proprio una scheggia
2009
Gravi falle nelle applicazioni per Facebook
2008
Tap'dNY imbottiglia e vende l'acqua di rubinetto
2007
Un piccolo trucco e il semaforo diventa verde
2006
Vista slitta ancora
2005
La RIAA disegna la radio del futuro
2004
Lo Zen può cambiare i manager?
2003
Arriva Spaghetti Learning
2002
Un film su Linux e free software
Olimpo Informatico


 
web metrics