Skype 出現嚴重漏洞,駭客可輕易取得系統權限

作者 | 發布日期 2018 年 02 月 14 日 10:10 | 分類 Microsoft , 資訊安全 , 軟體、系統 follow us in feedly

通訊軟體 Skype 在更新程式上出現嚴重的安全漏洞,讓駭客在未經防護的電腦中獲取完全的系統權限,可更改系統內每一個角落的設定。微軟表示,因修復工作涉及大量程式碼,會在新一個版本 Skype 才會為漏洞進行修復,而並不會獨立推出保安更新。



這次 Skype 漏洞由資訊安全技術人員 Stefan Kanthak 發現,他指出駭客可將惡意 DLL 檔案放到臨時資料夾,再將惡意檔案重新命名為現有的 DLL 檔案,當 Skype 更新程式時,便會執行惡意代碼,而非執行原本的檔案。

當 Skype 完成安裝,該程式就會透過內建的更新程序來自動更新,而更新方法是透過執行另一個文件進行,這個文件就成為了主要的漏洞。 專家警告,這個漏洞十分危險,而且很容易被駭客當成武器。他表示,只需透過兩條指令,就可將惡意程式導入至 Skype 的更新文件資料夾。

而且,這種攻擊並不只影響 Windows 用戶,對蘋果及 Linux 同樣危險。而一旦駭客取得系統權限,就可以刪除或竊取數據,更可進行勒索。Kanthak 早在 2017 年 9 月向微軟報告這個漏洞。微軟表示將會在 Skype 新版本推出時同時修復,但不會推出安全更新。

(本文由 Unwire HK 授權轉載;首圖來源:shutterstock)

關鍵字: , ,