La falla in Skype che Microsoft non correggerà

Sicuramente non in tempi brevi.



[ZEUS News - www.zeusnews.it - 15-02-2018]

falla skype

Stephan Kanthak è un esperto di sicurezza che lo scorso settembre ha scoperto in Skype una falla piuttosto seria, e l'ha diligentemente segnalata a Microsoft.

Kanthak spiega che un malintenzionato potrebbe sfruttare «la funzionalità del loader delle Dll di Windows che si attiva quando il processo che carica le Dll cerca le librerie da caricare innanzitutto nella medesima directory in cui il processo binario risiede, e solo dopo in altre directory». L'articolo continua qui sotto.

Sondaggio
Quando fai la spesa, qual è tra questi il profilo in cui ti ritrovi maggiormente?
Vado dritto verso quello che devo comprare e non perdo tempo: guardo solo le caratteristiche del prodotto e quanto costa.
Leggo sempre attentamente le etichette dei prodotti.
Per me gli acquisti sono necessari per una vita piena e appagante.
Per me il prezzo è più importante della marca.
Preferisco essere servito piuttosto che servirmi da solo.

Mostra i risultati (1906 voti)
Leggi i commenti (4)
Questa modo di eseguire la ricerca può essere adoperato per ingannare il sistema di aggiornamento di Skype.

Il primo passo consiste nel posizionare una versione malevola di una Dll all'interno di una cartella temporanea e assegnandole il nome di una Dll legittima, che possa essere modificata da qualsiasi utente senza privilegi.

Per approfondire:
L'ultimo giorno di Skype
Cortana ficca il naso nelle chat via Skype
Si suicida in diretta su Skype e la gente fa il tifo
Skype, i nuovi supernodi non servono a spiare

Quando il processo di aggiornamento di Skype cerca la Dll di cui ha bisogno scopre la libreria malevola e la adopera invece di proseguire la ricerca fino a trovare quella legittima. In questo modo è possibile ottenere i privilegi dell'utente di sistema System, che con i quali si ha il pieno controllo del Pc.

Kanthak ha testato e dimostrato il sistema con la versione di Skype per Windows, ma afferma che esso dovrebbe funzionare anche con le versioni per Linux e macOS.

Per quanto riguarda gli utenti di Windows, però, è importante fare una precisazione: la minaccia può essere sfruttata soltanto sui computer che eseguono l'app desktop, che adopera un programma di aggiornamento vulnerabile. L'app Uwp (Universal Windows Platform), disponibile per Windows 10 sul Microsoft Store, è invece immune.

In ogni caso, Microsoft dovrebbe fare qualcosa, tanto più che è stata informata del pericolo mesi fa.

C'è però un problema: l'azienda di Redmond ha riconosciuto la falla, ma ha spiegato a Kanthak che l'unico modo di risolverla è «una massiccia revisione del codice di Skype».

In altre parole, non ci sarà mai una correzione che potrà essere distribuita come aggiornamento di sicurezza del software: dovrà invece far parte di una versione tutta nuova, nell'attesa della quale gli utenti di Skype per desktop restano vulnerabili.

Dato che non è possibile sapere quando Microsoft finalmente rilascerà la versione corretta, nell'attesa gli utenti dovranno porre particolare attenzione e mettere in atto con ancora maggiore cautela tutti i noti consigli per la sicurezza, a partire dall'evitare di cliccare sugli allegati che arrivano via email.

Ti invitiamo a leggere la pagina successiva di questo articolo:
No, Skype non ha una falla gravissima e Microsoft ''non vuole rimediare''

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

ilmanowar
La soluzione che io uso per altri motivi: a parte non usare Skype, usare Pidgin con il plugin per Skype per le conversazioni testuali, mentre per le chiamate un telefono Android.
15-2-2018 12:17
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quali tra questi tuoi dati personali sono pubblici sui social network (chiunque può vederli e non solo i tuoi amici)?
Solo il mio nome per intero e la foto del profilo
In teoria tutto, non mi preoccupo delle impostazioni per la privacy
Nome completo, foto e post
Nome completo, foto, status, geolocalizzazioni e check-in
Non ci ho mai pensato

Mostra i risultati (1130 voti)
Aprile 2026
n. 4094 del 03-04-2026
Oracle licenzia 30.000 dipendenti via email
Marzo 2026
n. 4093 del 30-03-2026
Windows 11 avrà una barra delle applicazioni compatta in stile Windows 10
n. 4092 del 27-03-2026
CPU Intel e AMD introvabili
n. 4091 del 26-03-2026
Mozilla lancia la VPN gratuita in Firefox
n. 4090 del 24-03-2026
Windows 11, vacilla l'obbligo dell'account Microsoft
n. 4089 del 23-03-2026
Attacco informatico paralizza gli etilometri con alcolock: migliaia di veicoli fermi
n. 4088 del 20-03-2026
La Ricerca Live di Google arriva in Italia
n. 4087 del 19-03-2026
Samsung ritira il Galaxy Z TriFold dopo tre mesi
n. 4086 del 18-03-2026
Linea fissa TIM, in arrivo la rimodulazione: rincari di 2,99 euro a partire da maggio
n. 4085 del 16-03-2026
DR-DOS torna in vita: riscritto da zero in assembly, non usa codice legacy e non è open source
n. 4084 del 13-03-2026
Perplexity trasforma il Mac mini in un dipendente digitale che lavora per l'utente
n. 4083 del 12-03-2026
Excel, cinque trucchi che ogni principiante dovrebbe imparare subito
n. 4082 del 11-03-2026
50.000 specchi satellitari illumineranno la Terra
n. 4081 del 09-03-2026
Office EU, la suite open source europea che sfida Microsoft e Google
n. 4080 del 06-03-2026
Svelato per errore MacBook Neo, il portatile economico di Apple
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 3 aprile
2026
I data center dell'IA riscaldano il suolo fino a 10 km di distanza
2025
Amazon si offre di comprare TikTok USA
2024
Amazon abbandona i negozi coi cassieri a distanza
2023
Intelligenze Artificiali, fabbriche di informazioni false
2022
Le teste che non rotolano
2021
Alessandra, l'illustratrice che ha trasformato la passione in lavoro
2020
Vulnerabilità in Zoom, a rischio le password di Windows
2019
Anche Nokia ha il suo smartphone col buco
2018
Takeout: come scaricare una copia di quello che Google sa di noi
2016
Arrestati al cinema perché registravano l'audio
2015
Google, maxi-multa in arrivo da Bruxelles
2014
Android, come scoprire le app ficcanaso o prosciugabatteria
2013
Rimborsi delle bollette a chi rimane senza lavoro
2012
Malware per Mac, meglio disabilitare Java
2010
Il meglio del Forum Office e OpenOffice
2009
Google verso l'acquisizione di Twitter
2008
Il malware si sposta verso i cellulari
2007
L'automobile opensource debutta ad Amsterdam
2006
Il blogger che voleva farsi premier
2005
Dio mi perdoni: sono un analista
2003
Licenziare i padroni?
Olimpo Informatico


 
web metrics