مايكروسافت ميگويد براي رفع مشكل امنيتي اسكايپ به بازنگري اساسي در كدنويسي برنامه نياز دارد.
يك ضعف امنيتي در فرآيند بهروزرساني اسكايپ وجود دارد كه سيستم را با خطر امنيتي روبهرو ميكند و دسترسي سيستمي در اختيار هكر قرار ميدهد. هكرها در صورت استفاده از اين باگ ميتوانند به تمام بخشهاي سيستمعامل دسترسي كامل داشته باشند.
مايكروسافت كه صاحب اين سرويس مكالمهي صوتي و تصويري است، اذعان داشته كه از چون رفع اين نقيصه كار زيادي ميبرد، قادر به رفع سريع آن نيست.
استفان كنتاك، محقق حوزهي امنيت، چندي پيش متوجه شد نصبكنندهي بهروزرساني اسكايپ با يك تكنيك سرقت DLL قابل نفوذ است. با اين تكنيك، هكر ميتواند يك اپليكيشن را بهگونهاي فريب دهد كه بهجاي استفاده از فايل سيستمي، از كدهاي آلوده استفاده كند. با اين شيوه، هكر ميتواند يك فايل DLL مخرب را به پوشهاي موقت كه توسط كاربر قابل دسترسي است منتقل كند و سپس آن را به فايل DLL موجودي كه توسط كاربر قابل ويرايش نيست مثل UXTheme.dd تغيير نام دهد. اين تكنيك جواب ميدهد؛ چرا كه وقتي نرمافزار فايل DLL مورد نياز را جستجو ميكند، ابتدا فايل مخرب پيدا ميشود.
وقتي اسكايپ را نصب ميكنيد، اين نرمافزار براي بهروزرساني از آپديتر داخلي خود استفاده ميكند. وقتي اين آپديتر به اجرا درميآيد، از يك فايل اجرايي ديگر جهت انجام بهروزرساني استفاده ميكند كه همين موضوع آن را در معرض خطر نفوذ قرار ميدهد.
به گفتهي كنتاك بهسادگي و با چند خط كدنويسي ميتوان فايل DLL مخرب را به پوشهي موقت ذكرشده منتقل كرد. در ويندوز راههاي زيادي براي انجام اين كار وجود دارد؛ اما اين خطر تنها متوجه ويندوز نيست و مك و لينوكس نيز در معرض آن قرار دارند. كنتاك ميگويد:
وقتي فرد متجاوز دسترسي سيستمي به دست بياورد، ميتواند هر كاري انجام دهد؛ يعني فايلهاي موجود در رايانه را سرقت كند، دادهها را حذف كند و ... .
كنتاك در ماه سپتامبر سال گذشته، موضوع را به اطلاع مايكروسافت رساند؛ اما غول دنياي نرمافزار ميگويد برطرف كردن اين حفرهي امنيتي نياز به بازنگري اساسي در كدنويسي آپديتر دارد.
اين شركت به كنتاك گفته است كه هرچند ميتواند مشكل را رفع كند؛ اما اين رفع اشكال در نسخهاي جديد اعمال خواهد شد و صرفا از طريق يك بهروزرساني امنيتي قابل اعمال نيست.