Microsoft sẽ không sớm vá lỗ hổng nghiêm trọng trên Skype

www.tuoitre.vn -   22/02/2018 10:00:00 2750

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong dịch vụ nhắn tin trực tuyến miễn phí và dịch vụ thoại Skype phổ biến nhất hiện nay của Microsoft. Lỗ hổng này có khả năng cho phép hacker kiểm soát toàn bộ máy chủ bằng cách cấp đặc quyền hệ thống cho một người dùng nào đó.

Microsoft sẽ không sớm vá lỗ hổng nghiêm trọng trên Skype

Điều đáng lo ngại là Microsoft sẽ không sớm vá lại lỗ hổng này.

Không phải là vì lỗ hổng này không thể khắc phục mà là vì việc sửa lỗi đòi hỏi hãng phải viết lại phần mềm đáng kể, điều này cho thấy công ty sẽ phải cần phát hành ra một phiên bản Skype hoàn toàn mới chứ không phải là một bản vá lỗi thông thường.

Lỗ hổng đã được phát hiện và báo cáo cho Microsoft bởi một nhà nghiên cứu bảo mật mang tên Stefan Kanthak. Được biết lỗ hổng nằm trong bộ cài đặt cập nhật của Skype và có khác năng bị tấn công các DLL động.

Theo các nhà nghiên cứu, hacker có thể khai thác chức năng của trình Windows DLL, nơi quá trình tải DLL và tìm kiếm DLL trong cùng thư mục, trong đó có quy trình nhị phân và các thư mục khác. Việc khai thác này cho phép kẻ tấn công can thiệp quá trình cập nhật bằng các tải xuống và cài đặt một phiên bản độc hại của một tệp DLL vào thư mục tạm thời của máy tính Windows, đổi tên nó để khớp với DLL hợp pháp có thể sửa đổi bởi một đối tượng không có đặc quyền quản lý.

Khi trình cài đặt cập nhật Skype cố tìm tập DLL liên quan, nó sẽ vô tình tìm ra DLL độc hại trước và cài đặt mã độc hại.

Mặc dù Kanthak đã chứn minh cuộc tấn công bằng cách sử dụng Skype trên phiên bản Windows, nhưng ông tin rằng, phương pháp cướp DLL giống nhau cũng có thể hoạt động trên các hệ điều hành khác như macOS và Linux. Ông đã thông báo cho Microsoft về lỗ hổng của Skype vào tháng 9 nhưng công ty phản hồi rằng bản vá sẽ yêu cầu trình cài đặt cập nhật thông qua một bản sửa đổi mã lớn.

Vì vậy, thay vì đưa ra bản cập nhật bảo mật, Microsoft đã quyết định xây dựng một phiên bản hoàn toàn mới cho khách hàng Skype nhằm giải quyết tình trạng dễ bị tổn thương này. Cần lưu ý rằng lỗ hổng này chỉ ảnh hưởng đến Skype đối với ứng dụng dành cho máy tính để bàn, sử dụng trình cài đặt cập nhật dễ bị tấn công bởi kỹ thuật cướp DLL. Phiên bản ứng dụng nền tảng Universal Windows (UWP) có sẵn từ các cửa hàng Microsoft Store cho Windows 10 không bị ảnh hưởng.

Tính dễ bị tổn thương này được đánh giá là trung bình trong mức độ nghiêm trọng nhưng Kanthak nói cuộc tấn công hoàn toàn có thể được vũ khí hóa dễ dàng.

Do đó cho đến khi công ty phát hành phiên bản Skype hoàn toàn mới, người dùng nên thận trọng và tránh nhấp vào tệp đính kèm được cung cấp qua email. Ngoài ra, bạn hãy đảm bảo chạy phần mềm chống virus phù hợp và cập nhật phiên bản mới nhất.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 105
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 44
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 41
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 37
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 30
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 71
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ