通訊軟件 Skype 在更新程式上出現嚴重的安全漏洞,讓黑客在未經防護的電腦中獲取完全的系統權限,可更改系統內每一個角落的設定。微軟表示,因修復工作涉及大量程式碼,會在新一個版本 Skype 才會為漏洞進行修復,而並不會獨立推出保安更新。
今次 Skype 漏洞由資訊安全技術人員 Stefan Kanthak 發現,他指出黑客可將惡意 DLL 檔案放到臨時資料夾,再將惡意檔案重新命名為現有的 DLL 檔案,當 Skype 更新程式時,便會執行惡意代碼,而非執行原本的檔案。
當 Skype 完成安裝,該程式就會透過內置的更新程序來自動更新,而更新方法是透過執行另一個文件進行,這個文件就成為了主要的漏洞。 專家警告,這個漏洞十分危險,而且很容易被黑客當成武器。他表示,只需透過兩條指令,就可將惡意程式導入至 Skype 的更新文件資料夾。
而且,這種攻擊並不只影響 Windows 用家,對蘋果及 Linux 同樣危險。而一旦黑客取得系統權限,就可以刪除或竊取數據,更可進行勒索。 Kanthak 早在去年 9 月已經向微軟報告這個漏洞。微軟表示將會在 Skype 新版本推出時同時修復,但就不會推出安全更新。
資料來源:ZDnet