دروازه اخبار دیجیتال و فن آوری

مشکل امنیتی اسکایپ

کمپانی مایکروسافت نتوانست مشکل امنیتی اسکایپ را حل کند

eonline724.ir

مشکل امنیتی اسکایپ

شرکت مایکروسافت  عنوان کرده است که  جهت برطرف ساختن مشکل امنیتی اسکایپ ، احتیاج به بازنگری اساسی در کدنویسی برنامه دارد.

گفته می شود که در فرآیند به‌روزرسانی اسکایپ  یک ضعف امنیتی موجود می باشد
که سیستم را با خطر امنیتی مواجه می سازد و همچنین در اختیار هکر دسترسی سیستمی قرار می‌دهد.
بدین صورت هم هکرها با وجود بهره گیری از این باگ توانایی دسترسی به تمام بخش‌های سیستم‌عامل را دارند.

گفتنی است که شرکت مایکروسافت صاحب این سرویس مکالمه‌ی صوتی و تصویری می باشد
و مدعی شده است که به دلیل اینکه رفع این نقیصه خیلی زمان می برد،نمی تواند آن را سریع رفع کند.

قبلا هم استفان کنتاک، محقق حوزه‌ی امنیت، متوجه شد نصب‌کننده‌ی به‌روزرسانی اسکایپ با یک تکنیک سرقت DLL قابل نفوذ می باشد.
بنابراین با این تکنیک، هکر می‌تواند یک اپلیکیشن را طوری فریب دهد که به‌جای استفاده از فایل سیستمی، از کدهای آلوده بهره مند شود.

مشکل امنیتی اسکایپ

با بهره گیری از این روش ، هکر می‌تواند یک فایل DLL مخرب را به پوشه‌ای موقت که توسط کاربر قابل دسترسی است منتقل کند و سپس آن را به فایل DLL موجودی که توسط کاربر قابل ویرایش نیست مثل UXTheme.dd تغییر نام دهد.
لازم به ذکر است که این تکنیک جواب می‌دهد؛ به این دلیل که زمانیکه نرم‌افزار فایل DLL مورد نیاز را جستجو می‌کند،
در نخست فایل مخرب پیدا می‌شود.

این در حالی است که زمانیکه اسکایپ را نصب می‌کنید، این نرم‌افزار جهت به‌روزرسانی از آپدیتر داخلی خود بهره مند
می شود.
پس زمانیکه این آپدیتر اجرا می شود، از یک فایل اجرایی دیگر  برای انجام به‌روزرسانی استفاده می‌کند
که این موضوع آن را در معرض خطر نفوذ قرار می‌دهد.

با توجه به حرف های  کنتاک به‌ راحتی و با چند خط کدنویسی فایل DLL مخرب را به پوشه‌ی موقت ذکرشده  می توان انتقال داد.
همینطور در ویندوز هم  روش های  بسیاری جهت انجام این کار امکان پذیر می باشد؛
ولی این خطر فقط متوجه ویندوز نیست و مک و لینوکس نیز در معرض آن قرار دارند. کنتاک می‌گوید:

وقتی فرد متجاوز دسترسی‌ سیستمی به دست بیاورد، می‌تواند هر کاری انجام دهد؛
یعنی فایل‌های موجود در رایانه را سرقت کند، داده‌ها را حذف کند و … .

کنتاک در ماه سپتامبر سال گذشته، موضوع را به اطلاع مایکروسافت رساند؛
اما غول دنیای نرم‌افزار می‌گوید برطرف کردن این حفره‌ی امنیتی نیاز به بازنگری اساسی در کدنویسی آپدیتر دارد.

این در حالی است که این شرکت مدعی شده است قادر به رفع مشکل می باشد.
ولی این رفع اشکال در نسخه‌ای جدید باید انجام شود و صرفا از طریق یک به‌روزرسانی امنیتی قابل انجلم نمی باشد.