مايكروسافت قادر به رفع سريع مشكل امنيتي اسكايپ نيست

۱۹۲ بازديد

مايكروسافت مي‌گويد براي رفع مشكل امنيتي اسكايپ به بازنگري اساسي در كدنويسي برنامه نياز دارد.

 

يك ضعف امنيتي در فرآيند به‌روزرساني اسكايپ وجود دارد كه سيستم را با خطر امنيتي روبه‌رو ميكند و دسترسي سيستمي در اختيار هكر قرار مي‌دهد. هكرها در صورت استفاده از اين باگ مي‌توانند به تمام بخش‌هاي سيستم‌عامل دسترسي كامل داشته باشند.

مايكروسافت كه صاحب اين سرويس مكالمه‌ي صوتي و تصويري است، اذعان داشته كه از چون رفع اين نقيصه كار زيادي مي‌برد، قادر به رفع سريع آن نيست.

استفان كنتاك، محقق حوزه‌ي امنيت، چندي پيش متوجه شد نصب‌كننده‌ي به‌روزرساني اسكايپ با يك تكنيك سرقت DLL قابل نفوذ است. با اين تكنيك، هكر مي‌تواند يك اپليكيشن را به‌گونه‌اي فريب دهد كه به‌جاي استفاده از فايل سيستمي، از كدهاي آلوده استفاده كند. با اين شيوه، هكر مي‌تواند يك فايل DLL مخرب را به پوشه‌اي موقت كه توسط كاربر قابل دسترسي است منتقل كند و سپس آن را به فايل DLL موجودي كه توسط كاربر قابل ويرايش نيست مثل UXTheme.dd تغيير نام دهد. اين تكنيك جواب مي‌دهد؛ چرا كه وقتي نرم‌افزار فايل DLL مورد نياز را جستجو مي‌كند، ابتدا فايل مخرب پيدا مي‌شود.

وقتي اسكايپ را نصب مي‌كنيد، اين نرم‌افزار براي به‌روزرساني از آپديتر داخلي خود استفاده مي‌كند. وقتي اين آپديتر به اجرا درمي‌آيد، از يك فايل اجرايي ديگر جهت انجام به‌روزرساني استفاده مي‌كند كه همين موضوع آن را در معرض خطر نفوذ قرار مي‌دهد.

امنيت

به گفته‌ي كنتاك به‌سادگي و با چند خط كدنويسي مي‌توان فايل DLL مخرب را به پوشه‌ي موقت ذكرشده منتقل كرد. در ويندوز راه‌هاي زيادي براي انجام اين كار وجود دارد؛ اما اين خطر تنها متوجه ويندوز نيست و مك و لينوكس نيز در معرض آن قرار دارند. كنتاك مي‌گويد:

وقتي فرد متجاوز دسترسي‌ سيستمي به دست بياورد، مي‌تواند هر كاري انجام دهد؛ يعني فايل‌هاي موجود در رايانه را سرقت كند، داده‌ها را حذف كند و ... .

كنتاك در ماه سپتامبر سال گذشته، موضوع را به اطلاع مايكروسافت رساند؛ اما غول دنياي نرم‌افزار مي‌گويد برطرف كردن اين حفره‌ي امنيتي نياز به بازنگري اساسي در كدنويسي آپديتر دارد.

اين شركت به كنتاك گفته است كه هرچند مي‌تواند مشكل را رفع كند؛ اما اين رفع اشكال در نسخه‌اي جديد اعمال خواهد شد و صرفا از طريق يك به‌روزرساني امنيتي قابل اعمال نيست.

تا كنون نظري ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در رویا بلاگ ثبت نام کرده اید می توانید ابتدا وارد شوید.