Microsoft sẽ không sớm vá lỗ hổng nghiêm trọng trên Skype

www.tuoitre.vn -   22/02/2018 10:00:00 3153

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong dịch vụ nhắn tin trực tuyến miễn phí và dịch vụ thoại Skype phổ biến nhất hiện nay của Microsoft. Lỗ hổng này có khả năng cho phép hacker kiểm soát toàn bộ máy chủ bằng cách cấp đặc quyền hệ thống cho một người dùng nào đó.

Microsoft sẽ không sớm vá lỗ hổng nghiêm trọng trên Skype

Điều đáng lo ngại là Microsoft sẽ không sớm vá lại lỗ hổng này.

Không phải là vì lỗ hổng này không thể khắc phục mà là vì việc sửa lỗi đòi hỏi hãng phải viết lại phần mềm đáng kể, điều này cho thấy công ty sẽ phải cần phát hành ra một phiên bản Skype hoàn toàn mới chứ không phải là một bản vá lỗi thông thường.

Lỗ hổng đã được phát hiện và báo cáo cho Microsoft bởi một nhà nghiên cứu bảo mật mang tên Stefan Kanthak. Được biết lỗ hổng nằm trong bộ cài đặt cập nhật của Skype và có khác năng bị tấn công các DLL động.

Theo các nhà nghiên cứu, hacker có thể khai thác chức năng của trình Windows DLL, nơi quá trình tải DLL và tìm kiếm DLL trong cùng thư mục, trong đó có quy trình nhị phân và các thư mục khác. Việc khai thác này cho phép kẻ tấn công can thiệp quá trình cập nhật bằng các tải xuống và cài đặt một phiên bản độc hại của một tệp DLL vào thư mục tạm thời của máy tính Windows, đổi tên nó để khớp với DLL hợp pháp có thể sửa đổi bởi một đối tượng không có đặc quyền quản lý.

Khi trình cài đặt cập nhật Skype cố tìm tập DLL liên quan, nó sẽ vô tình tìm ra DLL độc hại trước và cài đặt mã độc hại.

Mặc dù Kanthak đã chứn minh cuộc tấn công bằng cách sử dụng Skype trên phiên bản Windows, nhưng ông tin rằng, phương pháp cướp DLL giống nhau cũng có thể hoạt động trên các hệ điều hành khác như macOS và Linux. Ông đã thông báo cho Microsoft về lỗ hổng của Skype vào tháng 9 nhưng công ty phản hồi rằng bản vá sẽ yêu cầu trình cài đặt cập nhật thông qua một bản sửa đổi mã lớn.

Vì vậy, thay vì đưa ra bản cập nhật bảo mật, Microsoft đã quyết định xây dựng một phiên bản hoàn toàn mới cho khách hàng Skype nhằm giải quyết tình trạng dễ bị tổn thương này. Cần lưu ý rằng lỗ hổng này chỉ ảnh hưởng đến Skype đối với ứng dụng dành cho máy tính để bàn, sử dụng trình cài đặt cập nhật dễ bị tấn công bởi kỹ thuật cướp DLL. Phiên bản ứng dụng nền tảng Universal Windows (UWP) có sẵn từ các cửa hàng Microsoft Store cho Windows 10 không bị ảnh hưởng.

Tính dễ bị tổn thương này được đánh giá là trung bình trong mức độ nghiêm trọng nhưng Kanthak nói cuộc tấn công hoàn toàn có thể được vũ khí hóa dễ dàng.

Do đó cho đến khi công ty phát hành phiên bản Skype hoàn toàn mới, người dùng nên thận trọng và tránh nhấp vào tệp đính kèm được cung cấp qua email. Ngoài ra, bạn hãy đảm bảo chạy phần mềm chống virus phù hợp và cập nhật phiên bản mới nhất.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Người dùng Việt Nam đã có thể dùng VPN k...

11/09/2023 08:00:00 74
Trước đây, người dùng phải sử dụng VPN thông qua nhiều phần mềm khác nhau, bất kể tính hợp lệ hay an...

Kaspersky: Cyber Immunity là chìa khóa b...

30/08/2023 08:00:00 570
Tuần lễ An ninh mạng lần thứ 9 của Kaspersky tiết lộ cách AI sẽ “phá vỡ” thế giới và làm thế nào để ...

Lướt web an toàn, Google hiện đã mặc địn...

30/08/2023 12:00:00 885
Nó cũng giúp các gia đình dễ dàng truy cập quyền kiểm soát của phụ huynh trực tiếp từ giao diện tìm ...

Lỗ hổng WinRAR mới có thể cho phép tin t...

29/08/2023 08:00:00 735
Một lỗ hổng bảo mật có mức độ nghiêm trọng cao đã được tiết lộ trong tiện ích WinRAR. Lỗ hổng này có...

Tin tặc hack 2 kính viễn vọng hiện đại n...

29/08/2023 12:00:00 526
Hiện các cơ quan có thẩm quyền và các bên liên quan vẫn chưa rõ nguồn gốc và bản chất của các cuộc t...

Microsoft đẩy mạnh cập nhật phiên bản 23...

28/08/2023 12:00:00 541
Microsoft cho biết bản vá October 2023 Patch Tuesday sẽ là bản cập nhật bảo mật cuối cùng cho 21H2.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ