Stephan Kanthak è un esperto di sicurezza che lo scorso settembre ha scoperto in Skype una falla piuttosto seria, e l'ha diligentemente segnalata a Microsoft.

Kanthak spiega che un malintenzionato potrebbe sfruttare «la funzionalità del loader delle Dll di Windows che si attiva quando il processo che carica le Dll cerca le librerie da caricare innanzitutto nella medesima directory in cui il processo binario risiede, e solo dopo in altre directory». L'articolo continua qui sotto.

Il primo passo consiste nel posizionare una versione malevola di una Dll all'interno di una cartella temporanea e assegnandole il nome di una Dll legittima, che possa essere modificata da qualsiasi utente senza privilegi.

Articoli raccomandati:

Cortana ficca il naso nelle chat via Skype

Si suicida in diretta su Skype e la gente fa il tifo

Skype, i nuovi supernodi non servono a spiare

Il governo cinese spia le chat di Skype

Quando il processo di aggiornamento di Skype cerca la Dll di cui ha bisogno scopre la libreria malevola e la adopera invece di proseguire la ricerca fino a trovare quella legittima. In questo modo è possibile ottenere i privilegi dell'utente di sistema System, che con i quali si ha il pieno controllo del Pc.

Kanthak ha testato e dimostrato il sistema con la versione di Skype per Windows, ma afferma che esso dovrebbe funzionare anche con le versioni per Linux e macOS.

Per quanto riguarda gli utenti di Windows, però, è importante fare una precisazione: la minaccia può essere sfruttata soltanto sui computer che eseguono l'app desktop, che adopera un programma di aggiornamento vulnerabile. L'app Uwp (Universal Windows Platform), disponibile per Windows 10 sul Microsoft Store, è invece immune.

In ogni caso, Microsoft dovrebbe fare qualcosa, tanto più che è stata informata del pericolo mesi fa.

C'è però un problema: l'azienda di Redmond ha riconosciuto la falla, ma ha spiegato a Kanthak che l'unico modo di risolverla è «una massiccia revisione del codice di Skype».

In altre parole, non ci sarà mai una correzione che potrà essere distribuita come aggiornamento di sicurezza del software: dovrà invece far parte di una versione tutta nuova, nell'attesa della quale gli utenti di Skype per desktop restano vulnerabili.

Dato che non è possibile sapere quando Microsoft finalmente rilascerà la versione corretta, nell'attesa gli utenti dovranno porre particolare attenzione e mettere in atto con ancora maggiore cautela tutti i noti consigli per la sicurezza, a partire dall'evitare di cliccare sugli allegati che arrivano via email.

Ti invitiamo a leggere la pagina successiva di questo articolo:
No, Skype non ha una falla gravissima e Microsoft ''non vuole rimediare''