【Mac/PC】セキュリティ研究者がSkypeのセキュリティ上の欠陥を公開

【Mac/PC】セキュリティ研究者がSkypeのセキュリティ上の欠陥を公開

Skypeのセキュリティ

Microsoftの所有しているSkypeは、攻撃者がMac、Windows、およびLinuxコンピュータを制御できるようにする大きなセキュリティ上の欠陥があります
さらに悪い点は、少なくとも今のところ、Microsoftはこの欠陥を修正するつもりはないということです

これは、アプリケーションアップデートインストーラ全体を書き直すことになるからです

セキュリティ上の欠陥はアプリアップデートインストーラにあり、悪用された場合、被害者がコンピュータに標準ユーザーとしてログインしていても、攻撃者は管理者レベルのアクセス権を得ることができます

そこから、ファイルのコピーや削除、他のアプリのインストール、個人情報へのアクセスなどを行うことができます


Microsoftでは、2017年9月に欠陥が警告され、それを自分のコンピュータで再現することができました

Stefan KanthakのSeclistノートから:

エンジニアは私にこのケースに関する最新情報を提供しました
彼らはコードを見直して問題を再現できましたが、セキュリティ更新プログラムではなく、新しいバージョンの製品に修正プログラムが実装されると判断しました
チームは新しいバージョンのクライアントを出荷する予定であり、現在のバージョンは徐々に廃止される予定です

このノートでは、コードの書き換えの必要性としてWindows固有のDLLインジェクションの脆弱性が参照されています

つまり、Skypeの自動更新システムは、誰かが悪用しようとするとセキュリティリスクになり、書き換えられたバージョンがリリースされてユーザーがインストールされるまでそのままになります
Skype Security 002
MacOS上にDLLが存在しないにもかかわらず、Kanthakによれば、macOSやLinuxで可能です、システムへのアクセスが許可されると、彼は「何でもできます」と言います

最近のMacOS用Skypeは、10月に主要なインターフェースアップデートを実施しました
Skypeの次回の重要なアップデートが到着するときは確信が持てますが、それまではSkypeを実行する際にはさらに注意が必要です

画像元:the Mac Observer
(Via 9to5Mac , ZDNet)


LEAVE A REPLY

*
*
* (公開されません)