Início » Antivírus e Segurança » Bug no Skype só pode ser corrigido se o aplicativo for reescrito

Bug no Skype só pode ser corrigido se o aplicativo for reescrito

Emerson Alecrim Por

Um bug é descoberto e, dias depois, a solução vem com uma atualização de segurança. Mas, em casos excepcionais, o problema é tão complexo que é mais fácil refazer o software. Essa é a situação da Microsoft: tudo indica que uma falha no Skype que dá acesso como administrador ao sistema operacional só vai deixar de existir nas próximas versões do cliente do serviço.

A vulnerabilidade foi descoberta por um especialista em segurança chamado Stefan Kanthak e reportada à Microsoft em setembro de 2017. O problema está no instalador de atualizações do Skype para Windows, que pode ser enganado com um "sequestro de DLL" (DLL hijacking): a técnica consiste, basicamente, em fazer o instalador acessar um arquivo DLL malicioso no lugar de um legítimo e seguro.

Para tanto, o invasor deve colocar o arquivo malicioso em uma pasta temporária e renomeá-lo com o mesmo nome de um arquivo DLL legítimo. Esse arquivo pode ser modificado até por um usuário sem privilégios de administrador. O truque vai funcionar porque o instalador faz uma busca seguindo uma hierarquia de pastas. Assim, se a pasta temporária for encontrada antes, o conteúdo dela será executado.

Skype

Quando o arquivo malicioso estiver ativo, o invasor poderá instalar malwares (como um ransomware), roubar dados do usuário e apagar informações, por exemplo, tudo de maneira remota.

Kanthak decidiu divulgar o bug depois de ter recebido como resposta da Microsoft que, apesar de a companhia ter conseguido reproduzir o problema, a falha só será solucionada em uma versão futura do cliente do Skype, não em uma atualização de segurança emergencial.

No entendimento da Microsoft, há tanto código para ser reescrito que não vale corrigir a versão atual. Como não é fácil explorar a falha (é preciso acessar o computador de alguma forma para inserir a pasta temporária), a companhia decidiu direcionar todos os esforços no desenvolvimento de uma nova versão do cliente que, obviamente, incluirá a correção.

A Microsoft foi procurada. Ao Engadget, a companhia declarou que tem como política tratar problemas de baixo risco em seu programa Update Tuesday, dando a entender que a falha pode ser corrigida em um grande pacote de atualizações de segurança. Entretanto, a companhia não informou data de liberação, tampouco confirmou se usará mesmo o programa.

Embora não tenha dado detalhes, Kanthak não descarta a possibilidade de as atuais versões do Skype para macOS e Linux estarem sob risco de falhas semelhantes.

Com informações: ZDNet, The Inquirer.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Valdo

Alguém já tem informação atualizada se a MS já corrigiu esse BUG?

gus

microsoft foi um cancer para o skype. Não atualizo, não uso novas versões, pq simplesmente falha muito, em muitos aspectos.

Douglas B

Microsoft criou um monstro no coraçãozinho desse antigo fanboy aqui.

Lucas Riechelmann

Título tendencioso, o problema é no Instalador e não precisa reescrever todo o software.

Gilberto Furtado

Skype esta uma piada, a versão mais atual deles não deixa excluir conversas, coisa simples e padrão de todos mensageiros do mercado.

Pedro Teles

Aí é bem chato .

@Sckillfer

UWP não tem updater

@Sckillfer

Ela não precisa mudar pra estragar... Ele era bom pra seu propósito em sua época, não perfeito. MS comprou e não melhorou nada do que tinha que ser melhorado e a concorrência chegou.

Quando preciso fazer uma vídeo chamada por pior que seja a qualidade das chamadas do WhatsApp, é bem melhor do que ter adicionar o contato no Skype, ligar e rezar pra chamar no dispositivo certo (pra que chamar em todos ou no ativo se posso chamar só no que não tá em uso, não é mesmo?).
No EUA não usam WhatsApp, mas lá preferem usar o Snapchat pra videochamadas rápidas que o Skype (o redesign do Skype imitando o Snap que todos odiaram não veio a toa).

Paul

Não é afetada, segundo o WC. Só a versão x86 msm.

Paul

As pessoas comentam isso e eu nunca entendi o pq.
Antigamente o instalador do Skype ñ era considerado um ''malware'' de tão mal-feito(vi isso em um site gringo)? E a estrutura ñ era ''meh''? O que houve?
Nunca tive problema com ele desde então(só comecei a usar em 2012, antes disso tava no saudoso MSN).

PS: Fizeram uma CAGADA desgraçada com o redesign atual(teen até demais). Por isso, ao menos no PC, tô com a versão anterior.

Fabio Alvez

Ia comentar a mesma coisa, mesmo o finado msn messenger tinha um monte de bugs irritantes...

João

Mataram o MSN para focar no Skype e mataram o Skype... Exemplo de sucesso.

🧙‍♂️ Mago Erudito® ᴾᴿᴱᴹᴵᵁᴹ

Ele era usável até a M$ comprar. Estragaram rapidinho, impressionante.

🧙‍♂️ Mago Erudito® ᴾᴿᴱᴹᴵᵁᴹ

Bom saber que alguém ainda usa Skype.

Bons tempos!

Thiago Moraes

Depois que a microsoft comprou o skype só foi derrota nesse aplicativo que era excelente. Hoje o skype é uma merda.

Exibir mais comentários