微软短期内不会修补严重的Skype漏洞

在微软拥有的最流行的免费网络消息和语音通话服务Skype中发现了一个严重漏洞，该漏洞可能允许攻击者通过向本地未经授权的用户授予系统级权限来获得对主机的完全控制。



这并不是因为该漏洞无法修补，而是因为修复该漏洞需要进行大量软件重写，这表明该公司需要发布全新版本的Skype，而不仅仅是补丁。

安全研究员Stefan Kanthak发现并向Microsoft报告了该漏洞，该漏洞存在于Skype的更新安装程序中，该安装程序易受动态链接库（DLL）劫持的影响。

据研究人员称，潜在的攻击者可以利用“Windows DLL加载器的功能，加载DLL的进程首先在进程二进制文件所在的同一目录中搜索要加载的DLL，然后在其他目录中搜索。”

利用此优先搜索顺序，攻击者可以通过下载恶意版本的DLL文件并将其放置到Windows PC的临时文件夹中，然后将其重命名以匹配合法的DLL，从而劫持更新过程，而无需任何特殊帐户权限，无需特权用户即可修改该DLL。

当Skype的更新安装程序试图找到相关的DLL文件时，它会首先找到恶意DLL，从而安装恶意代码。

尽管Kanthak使用Windows版本的Skype演示了攻击，但他认为同样的DLL劫持方法也可以用于其他操作系统，包括适用于macOS和Linux的Skype版本。

Kanthak告诉ZDNet，Kanthak早在9月份就将Skype漏洞告知了微软，但该公司告诉他，该补丁将要求Skype更新安装程序进行“大规模代码修订”。

因此，微软没有发布安全更新，而是决定构建一个全新版本的Skype客户端来解决该漏洞。

需要注意的是，该漏洞仅影响桌面应用程序的Skype，该应用程序使用易受DLL劫持技术攻击的更新安装程序。适用于Windows 10 PC的Microsoft应用商店提供的通用Windows平台（UWP）应用程序版本不受影响。

该漏洞的严重性被评为“中等”，但坎塔克说，“攻击很容易被武器化。”他列举了两个尚未公布的例子。

在该公司发布全新版本的Skype客户端之前，建议用户谨慎行事，避免点击电子邮件中提供的附件。此外，请确保运行适当且更新的防病毒软件，为此类攻击提供一些防御。

这不是Skype第一次处理严重的安全漏洞。2017年6月，Skype中的一个关键漏洞被发现，之后微软发布了一个修复程序，允许黑客破坏系统并在其中执行恶意代码。

上个月，在多个消息应用程序中，Skype还处理了Electron—；一种广泛应用于桌面应用程序的流行web应用程序框架。