Skypeのアップデート機能に脆弱性。大量のコード修正が必要なため対策は当面先
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
Skypeのアップデート機能に脆弱性があることが判明した。攻撃者がこの脆弱性を利用すれば、特権を持たないローカルユーザを完全なシステムレベルの権限に昇格させ、OSのあらゆる場所にアクセスが可能となるという。発見したのはセキュリティ研究者のStefan Kanthak氏。
攻撃者は、悪意のあるDLLをユーザーがアクセス可能な一時フォルダーにダウンロードさせ、そのあと、特権を持たないユーザーでも名前が変更可能な「UXTheme.dll」などの正当なDLLに名前を変更することでDLLハイジャックを行う。インストーラが関連ファイルを見つけようとすると、最初にハイジャックされたDLLが見つかるため、問題のコードがインストールされるのだという。
Microsoftは9月にKanthak氏からこのセキュリティ上の欠陥を伝えられていたが、修正には大量のコードを書き直す必要があるという。このため、次のメジャーアップデートまでは対応しない方針のようだ(ZDNet、Neowin、Slashdot)。
Skypeのアップデート機能に脆弱性。大量のコード修正が必要なため対策は当面先 More ログイン