Skype 遇顽固 Bug,微软表示好麻烦不想修复

达尔文
 达尔文
发布于 2018年02月14日
收藏 1

Skype 更新程序中发现安全漏洞,攻击者可以从易受攻击的计算机中获得系统级权限。

该漏洞如果被利用,可以将本地非特权用户升级到完整的“系统”级别权限,由此获得访问操作系统的每个角落的权限。

但这还不是最糟糕的,更糟糕的是微软表示,它不会立即修复这个漏洞,因为这个漏洞需要做太多的工作。微软选择将全部资源投入到建立一个全新的客户端。

有关报告对这次安全漏洞进行了说明:

安全研究人员 Stefan Kanthak 发现,Skype 更新安装程序可以利用 DLL 劫持技术进行利用,该技术允许攻击者诱导应用程序绘制恶意代码。 攻击者可以将恶意 DLL 下载到用户可访问的临时文件夹中,并将其重命名为可由非特权用户(如 UXTheme.dll)修改的现有 DLL。

该错误的工作原理是当应用程序搜索它所需的 DLL 时,会首先找到恶意 DLL。 一旦安装,Skype 使用其自己的内置更新程序来更新。 当该更新程序运行时,它使用另一个可执行文件来运行更新,该更新很容易受到劫持。 

编译自:ZDNet

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Skype 遇顽固 Bug,微软表示好麻烦不想修复
加载中

最新评论(1

土卫十六
土卫十六
外包给我吧!!
返回顶部
顶部