نقص بزرگ امنیتی در اسکایپ کشف شد. در آینده نزدیک هم رفع نمی شود.

آزمایشگاه های امنیتی کوییک هیل اخیراً آسیب پذیری جدی در فایل نصبی به روزرسانی اسکایپ مشاهده کرد- این خبر بدی است. بدتر از همه این است که از آنجا که این به روز رسانی نیاز به “بازنگری عظیم کد” دارد، مایکروسافت این آسیب پذیری را به این زودی رفع نمی کند.

A_massive_security_flaw_discovered_in_Skype-e1518599110104

این نقص امنیتی در مورد چیست؟
محقق امنیتی، استفان کنتاک، این آسیب پذیری را در سپتامبر ۲۰۱۷ کشف کرد. او دریافت که این نقص می تواند با استفاده از تکنیک حمله DLL Hijacking انجام گیرد، که با فریب دادن اسکایپ به استفاده از یک کد مخرب به جای کد واقعی مایکروسافت، از آن سوء استفاده می کند.

این اولین بار نیست که اسکایپ یک مشکل امنیتی دارد. در ژوئن ۲۰۱۷، یک نقص حیاتی در سرویس پیام رسانی رخ داد که هکرها را قادر به خرابی سیستم و اجرای کدهای مخرب در آنها کرد. این نقص بعدها توسط مایکروسافت ثابت شد.

اسکایپ از جمله برنامه هایی است که از چارچوب کلی منبع باز مورد استفاده در برنامه های کاربردی به نام “Electron” استفاده می کنند.
الکترون بعدها با داشتن یک آسیب پذیری حیاتی یافت شد و درنتیجه اسکایپ را نیز آسیب پذیر کرد.

به گفته استفان کنتاک، این نقص برای سیستم عامل دسکتاپ مایکروسافت آسیب پذیری خاصی نیست و کاربران مک و لینوکس نیز به طور بالقوه به حمله DLL hijacking آسیب پذیر هستند.

مهم این است که توجه داشته باشید به دلیل این که این برنامه ها به روز رسانی های خاص خود را دارند که به تکنیک حمله DLL hijacking آسیب پذیر هستند، این آسیب پذیری بر روی برنامه اسکایپ برای دسکتاپ تاثیر می گذارد و بر برنامه جهانی سیستم عامل ویندوز که همراه با رایانه های شخصی ویندوز ۱۰ همراه است اثری ندارد.

این نقص تا چه حدی مشکل ساز است؟
این نقص امنیتی امکان به دست آوردن امتیازات در سطح سیستم را برای مهاجمان فراهم می کند. این بدان معنی است که مهاجمان می توانند کنترل کامل سیستم آسیب دیده را به دست آورند و با راه اندازی یک باج افزار یا نصب بد افزار بر روی کامپیوتر، انواع خرابکاری های مخرب مانند حذف فایل های شخصی، سرقت اطلاعات حساس، گروگان گیری اطلاعات را انجام دهند.

چون این نقص به ویندوز محدود نمی شود و می تواند بر کاربران مک و لینوکس نیز تاثیر بگذارد، فرصت بزرگی برای مهاجمان محسوب می شود.

مایکروسافت اظهار کرده که این نقص نیاز به بازنگری عظیم کد دارد که هم اکنون غیرعملی است. آنها این نقص را در نسخه آینده این برنامه حل خواهند کرد؛ تاریخ انتشار این نسخه هنوز در دسترس نیست.

بنابراین، تا زمانی که این نقص رفع شود، ما اکیداً به کاربران توصیه می کنیم از نرم افزار اسکایپ ویندوز استفاده نکنند و برنامه هایی مثل WhatsApp و Google Duo را جایگزین کنند.
منابع:

http://www.zdnet.com/video/skype-cant-fix-security-bug-without-large-code-revision/

https://electronjs.org/blog/protocol-handler-fix

https://www.vulnerability-lab.com/get_content.php?id=2071

این نوشته در تهديدات جديد ارسال و , , , , , , , , , , , , , , , , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>