Microsoft distribuiu instalador do Skype com falha de segurança durante meses

Esta semana, um pesquisador de segurança revelou uma falha tão profunda no instalador do Skype que, para corrigi-la, seria necessário reescrever seu código do zero. A Microsoft foi avisada em setembro de 2017.

A empresa agora diz que a falha não afeta a versão mais recente do Skype para desktop, lançada em outubro. A Microsoft só esqueceu de mencionar um detalhe: ela estava distribuindo a versão antiga até poucos dias atrás.

A vulnerabilidade foi descoberta por Stefan Kanthak, e envolve “sequestro de DLL” (DLL hijacking) no instalador do Skype para Windows. Segundo a Microsoft, isso afeta as versões 7.40 e anteriores.

A versão 8 não tem esse bug. Ela traz um visual novo para o Skype, com degradês coloridos nos balões de mensagens, suporte a @menções, reações com emoji durante chamadas de vídeo, entre outros.

Muita gente não aprovou essas mudanças, preferindo o design antigo. Até a última terça-feira (13), a página oficial de download incluía a opção “Baixe a versão clássica do Skype”. Era a versão 7.40 com a falha de segurança no instalador.

O link para a versão clássica foi silenciosamente removido nos últimos dias:

No entanto, ela ainda não foi removida dos servidores da Microsoft:

Vale notar que o Skype 8.x — com o novo design — está disponível para Windows 7, Windows 8/8.1 e Windows 10 build 1507 ou 1511, lançadas em 2015.

Se você tiver o Windows 10 Atualização de Aniversário (build 1607) ou posterior, o instalador exibirá uma mensagem de erro e levará você até a Microsoft Store, para instalar/atualizar a versão UWP.

Enquanto isso, a versão 7.4 — com o visual antigo e a falha de segurança — pode ser instalada em qualquer build do Windows 10.

Com informações: Microsoft.

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade