Skype Win32: scoperto grave bug che richiede ampia riscrittura dell'updater

13 Febbraio 2018 30

È emersa una grave falla di sicurezza nel sistema di aggiornamento dell'app desktop di Skype per Windows. Un malintenzionato può ottenere accesso al sistema operativo con i massimi privilegi (SYSTEM, anche più elevati di Administrator), e da lì condurre virtualmente ogni tipo di attacco - installazione ransomware, cancellazione file, estrazione dati sensibili e molto altro.

L'attacco sfrutta una tecnica ben nota con il nome di DLL hijacking. In poche parole, viene scaricata una DLL dannosa in una cartella temporanea che non richiede privilegi d'accesso elevati, e si rinomina con lo stesso nome di una DLL legittima (per esempio UXTheme.DLL). L'installer di Skype, quando esegue gli aggiornamenti periodici, può trovare prima la DLL-trappola invece di quella legittima, ed eseguire il codice che contiene.

Microsoft è a conoscenza del problema da settembre, ma ha detto che risolverlo è impossibile attraverso una semplice patch: bisogna riscrivere buona parte del codice del processo che si occupa dell'aggiornamento. Microsoft ha risposto che, benché sia riuscito a riprodurre il problema, il team Skype sta concentrando tutti i propri sforzi nella realizzazione di una nuova versione del client, che sarà immune alla vulnerabilità. Non si sa però quando sarà pronta.

Fotocamera al top e video 4K a 60fps con tutta la qualità Apple? Apple iPhone 8 Plus, in offerta oggi da Phone Strike Shop a 670 euro oppure da Amazon a 732 euro.

30

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
qandrav

aiuto così tanti bug non li ho mai visti nemmeno io :(

"Dire che sono rit@ardati é un complimento ancora..."
ovviamente hai ragione al 100000000000000000%, ti cito solo una cosa che invece funziona sempre benissimo su qualsiasi versione di skype e cioè gli sticker/smiley da bambini defi cienti :(
quelli vanno sempre che è un piacere, invece le cose utili da citate....lasciamo perdere

Questa é la cosa più triste secondo me!

Lo direi anche io... Ma quando sento parlare di "team skype" so che si parla dei programmatori peggiori a questo mondo!
Quelli che dopo aver rilasciato un aggiornamento per i Lumia dove il video é a testa in giù non sono più riusciti a metterlo a posto (da 6 mesi ormai).
Quando avvio una videochiamata di gruppo si spegne il telefono.
Dopo il riavvio spesso non ricevo le notifiche.
Dopo gli aggiornamenti Skype acquisisce le notifiche SMS senza permesso e poi gli SMS mi arrivano con 4 giorni di ritardo!
Quando giro il telefono di 90° non vedo nemmeno più chi mi chiama.
All'estero mi dice sempre che non riesce a connettersi, pur essendo in WiFi.

Dire che sono rit@ardati é un complimento ancora...

2 anni fa non era perfetto, ma almeno funzionale! Ora invece fa davvero pena come programma!

D_P

Non saprei, io per lavoro uso ancora la UWP e non ho mai avuto grossi problemi.
Certo, ci sono stati giorni in cui i messaggi non partivano o non arrivavano le notifiche, ma nel mio caso sono stati giusto uno o due giorni in un anno.

Retn

È sempre comunque di microzoz

Apocalysse

PIù che altro non esegue un controllo di autenticità, magari con un banale HASH per sapere se è suo o cosa !

MasterBlatter

che però ti arrivano le notifiche subito quando ad minchiam l'accesso in background funziona, apri l'app skype e non c'è traccia del messaggio.

Marco SoC

Veramente si parla di skype santoss. Manco capisci quello che leggi. Sei proprio mal messo

Retn

Windows è un bug unico

Top Cat

Chi Albert?

jacksp

Dicono che sarà un certo stagista che fino a poco tempo fa ha lavorato per Apple..

ErCipolla

Personalmente, per me non è una questione di nostalgia, è proprio che vanno peggio. Principalmente per colpa di Microsoft che spaccia agli sviluppatori il mito che si può convertire un'app tradizionale in una UWP in un paio di click, quando in realtà ci sono tanti "micro cambiamenti" dell'environment che causano inevitabilmente comportamenti strani e a volte difficili da debuggare.

Esempio che mi è capitato di recente: stavo tirando in ballo tutti i santi del firmamento perché non riuscivo a far andare un addon per Kodi, per poi scoprire, dopo un'ora di prove cambiando ogni possibile settaggio, che il problema è che avevo la versione Windows Store di Kodi, la quale gestisce diversamente certi path e certe interazioni con l'api nativa che impedivano il caricamento dell'addon.

ErCipolla

Ha le sue magagne, ma almeno quando qualcuno ti scrive il messaggio ti arriva subito.

Con la versione UWP i messaggi arrivano quando vogliono, a volte anche ore e ore dopo, spesso te li perdi finché non riporti l'app in primo piano (e no, non è un problema del mio PC, avuto la stessa esperienza su tutte le macchine aziendali, tanto che è stata la goccia che ci ha fatto passare a Discord per la messaggistica interna)

qandrav

concordo, speriamo che questa sia la volta buona per sistemarla definitivamente

Marco SoC

Si e uso quella desktop dato che la versione sullo store è puro letame

qandrav

per un attimo ho pensato il tuo fosse un messaggio scritto da me....
anche tu costretto ad usare questa robaccia di app per lavoro?

qandrav

" team Skype sta concentrando tutti i propri sforzi nella realizzazione di una nuova versione del client, "

ALLELUJA FINALMENTE!

Tk Desimon

ah...

Marco SoC

Si ma quella sullo store è proprio vergognosa. Perfino la app su android è fatta meglio e questo è tutto dire

Tk Desimon

È la piaga dei web installer... Che differenza fa installare da pacchetto pre-scaricato e installarlo via web?

Tk Desimon

Non che skype win32 sia tanto meglio eh...

Top Cat

Auguri a chi toccherà rivedere il tutto.

Top Cat

Ma và?

Amen

A me fanno schifo le app UWP in generale, ogni volta che formatto una delle prime cose che faccio è disinstallarle tutte, store compreso, con un comando apposito. Sarò nostalgico ma su un sistema desktop preferisco le app win32 (oppure Linux).

Palux

Da ormai secoli.

Raffael

Se non erro, andò anche a “Ciao Darwin”

ErCipolla

Spero solo che facciano il fix e non la usino invece come facile scusa per "spingere" verso l'adozione del client UWP che al momento fa parecchio schifo rispetto a quello win32

ghost

Si vista prima lol

Quello che nessuno dice

O.T. Ma ci credete che la Lacorte è finita pure ad Avanti un altro su canale 5?

pastor

Davvero assurdo che un installer vada a cercare una DLL in una cartella qualsiasi.

HDblog @ Computex 2018: live blog continuo dalla fiera

Tutte le novità di Windows 10 1803 "April 2018 Update"

Guida Acquisto: i migliori Notebook, Ultrabook e 2-in-1 | #NATALE 2017

Windows 10 1709 Fall Creators Update disponibile: tutte le novità