微软面临着一个糟糕的时期,当潜在的威胁与幽灵和崩溃有关的威胁影响了包括英特尔,AMD和ARM在内的几乎所有主要芯片制造商。微软还发布了一个更新以处理该问题,但也崩溃了。该更新破坏了一些AMD驱动的PC,现在该软件巨头期待解决Windows Skype的另一个主要安全问题。但是,该软件需要更多时间来解决问题。
安全研究人员Stefan Kanthak最近发现了一个错误,该错误可能会导致Skype更新以在库中加载恶意代码,而不是放置正确的代码。黑客只需要将伪造的DLL放入可访问用户的临时文件夹中。现有DLL的名称可以由任何人都可以修改,甚至要求系统访问。微软还确认,Skype面临的安全缺陷可以使攻击者进入系统级别的访问。
Microsoft无法立即解决问题,因为这将需要进行完整的代码修改。该错误链接到Skype Update功能,可以通过插入错误的代码来更改以欺骗应用程序以获得许可。根据Kanthak的说法“他们已经审查了该代码并能够复制该问题,但已经确定该修复程序将在产品的较新版本中实现,而不是安全更新。”
Microsoft似乎不会很快发出安全更新,而是Skype将在稍后修订中进行重大修订。根据官方声明,公司的官方声明“我们有客户承诺调查报告的安全问题,并尽快更新对设备进行积极影响。我们的标准政策是,在低风险问题上,我们通过我们的更新周二时间表来补救这种风险。”安全漏洞仅限于桌面上的完整Skype程序,通用Windows平台(UWP)的用户不遇到任何问题。
