上周,关于 Skype 及其安装和更新程序的安全性出现了一些技术争议。一篇文章来自中电网首先点燃了粉末,随后引发了一系列类似的出版物。我们的同事认为,更新系统中的一个缺陷允许通过 DLL 注入攻击恶意提升权限。更糟糕的是:微软不想修复这个问题,因为它需要太多的努力。为此他依靠德国黑客的文章,斯特凡·坎塔克。
但几天后,事情发生了戏剧性的转变。登记册想要澄清事实,解释说这个可怕的缺陷实际上已经得到了纠正。这在7.4版本中确实存在,但在8版本中不再出现去年10月发表。文章为此引用了来自微软的消息其中指定:“问题出在安装 Skype 软件的程序中。问题不在于 Skype 软件本身 »。因此我们就放心了。
但事实上,《登记册》有点混乱,只证实了一半的事实。 ZDnet 所谈论的缺陷确实涉及 Skype 7.4(德国黑客一开始并没有具体说明),但它位于更新程序中,而不是安装程序中(如微软建议的那样)。此外,事实证明,出版商的消息最终是错误的。
“烂”软件
德国黑客在接受 01net.com 采访时解释说,Skype v8 安装程序与 Skype v7 更新程序一样容易受到 DLL 注入攻击。攻击者还可以“获得权限升级,但方式略有不同”,他在一个博客文章。如何 ?攻击者只需设法将伪造的恶意 DLL 放置在安装程序运行的文件夹(通常是下载文件夹)中即可。程序不再进一步查找,并自动使用系统权限加载这个被捕获的 DLL。就是这样。
安全研究人员还告诉我们,Skype v7 用户无法自动将其软件更新到 Skype v8,这与微软声称的相反。获取最新版本通信软件的唯一方法是手动安装。
最后,斯特凡·坎塔克 (Stefan Kanthak) 借此机会说出了他对出版商的所有坏话。据他介绍,Skype安装程序是使用Borland Delphi过时的框架开发的,没有集成某些基本的安全技术,例如地址空间随机化(ASLR)或“堆栈cookie”,而这些技术却是微软自己提倡的。简短的,“这个软件太烂了!” »,他相信。
我们向微软询问了整个故事。回答 :“暂时没有评论”。最后请注意,Stefan Kanthak 也刚刚将微软归咎于管理您的安全补丁。对于雷德蒙德公司来说,这是一次黑色的连胜。
