上週,關於Skype及其安裝和更新程序的安全性出現了一些技術爭議。來自ZDNET首先向粉末開火,在其溝中引起一系列類似的出版物。我們的同事認為,更新系統中的缺陷允許通過DLL注射攻擊來提高特權。更糟糕的是:微軟不想修補這個問題,因為它需要太多的精力。他為此傾向於德國黑客的文章,Stefan Kanthak。
但是幾天后,這是戲劇性的中風。寄存器想恢復真相,並解釋說可怕的過錯實際上已經得到糾正。這將在版本7.4中存在,但不再出現在版本8中去年10月出版。文章為此目的引用來自Microsoft的消息誰指定:“問題在於安裝Skype軟件的程序中。問題不在Skype本身“軟件”中。因此,我們放心。
但是實際上,登記冊有點插入刷子,只能重新建立真相。 ZDNET講話的錯誤確實與Skype 7.4有關(德國黑客在開始時沒有指定的錯誤),但它是在更新程序中放置的,而不是安裝程序中的(正如Microsoft建議的那樣)。此外,事實證明,發布者的消息最終是錯誤的。
“爛”軟件
德國黑客與01NET.com聯繫,解釋說,Skype V8安裝程序與Skype V7 Update更新程序一樣容易受到DLL注射攻擊的影響。攻擊者也可以“獲得特權的高度,但以略有不同的方式獲得”,他強調部落格。如何 ?攻擊者可以在安裝程序運行的文件中放置一個惡意DLL,這通常是下載的。該程序將不會進一步尋找,並且會自動加載該DLL被系統特權所困。瞧。
安全研究人員還告訴我們,Skype V7用戶無法自動將其軟件更新為Skype V8,這與Microsoft斷言相反。獲取最新版本的通信軟件的唯一方法是手動安裝它。
最後,斯特凡·坎特克(Stefan Kanthak)利用了這一點,說出他對出版商的所有傷害。據他介紹,Skype的安裝程序是由Borland Delphi的過時框架開發的,該程序不包括某些基本安全技術,例如地址空間的隨機分佈(ASLR)或“堆棧Cookies”,但是Microsoft本身提倡的。簡短的,“這些軟件爛了!” »»»,他相信。
在整個故事中,我們都向微軟挑戰。回答 :“目前沒有評論”。請注意,最後,Stefan Kanthak也只是將Microsoft固定在管理其安全補丁。這是雷德蒙德公司的黑色系列。
🔴不要錯過任何01net新聞,請關注我們Google新聞等WhatsApp。
