Spragą, kuri aktuali „Skype“ versijoms 7.2, 7.35 ir 7.36, atrado saugumo tyrėjas Benjaminas Kunz-Mejri iš Vokietijos kompanijos „Vulnerability Lab“. Ši spraga, kuriai suteiktas identifikavimo numeris CVE-2017-9948, laikoma didelį pavojų keliančiu pažeidžiamumu, praneša Thehackernews.com.
Spraga gali būti pasinaudota nuotoliniu būdu, vykstant pokalbio sesijai, arba gavus tiesioginę prieigą prie įrenginio. Ji aktuali operacinių sistemų „Windows XP“, „Windows 7“, „Windows 8“ ir „Windows 10“ naudotojams. Beje, naujausioje „Skype“ versijoje 7.37 spraga yra užlopyta, taigi vartotojams patariama nedelsiant atnaujinti programą.
Saugumo bendrovė pažymi, jog blogiausia tai, kad norint pasinaudoti šia spraga programišiams nereikia išprovokuoti jokių vartotojo veiksmų (pvz., paspausti sutikimo mygtuką ar pan.), be to, jai užtenka mažai kompiuterio valdymo privilegijų turinčio „Skype“ vartotojo.
Įsilaužėliai gali nuotoliniu būdu „užlaužti“ programą – vartotojui tiesiog parodomas netikėtos klaidos pranešimas – ir perrašyti aktyvių procesų registrą ar net kompiuteryje aktyvuoti kenkėjišką kodą.
Remiantis saugumo tyrėjų ataskaita, programišiams reikia susikurti specialų paveikslėlio failą su kenkėjišku kodu, nukopijuoti jį į iškarpinę ir įkelti į pokalbio langą.
Kuomet tas pats paveikslėlis atsiranda abiejų kompiuterių (siuntėjo ir gavėjo) iškarpinėse, „Skype“ ima strigti, vartotojui mėto įvairias klaidas ir galiausiai visiškai „užlūžta“. Tuo metu programišiams ir atsilapoja vartai į aukos įrenginį.
Saugumo bendrovė sukūrė parodomąjį pažeidžiamumo kodą, o „Microsoft“ apie spragą buvo pranešta gegužės viduryje. „Skype“ savininkė spragą užlopė birželio 8 dieną išleistame „Skype“ atnaujinime 7.37.
Patikrinti, kokią „Skype“ versiją naudojate, galite programos lange paspaudę „Pagalba“ > „Apie „Skype“, o naujinį atsisiųsite ir įsidiegsite pasirinkę „Pagalba“ > „Tikrinti, ar yra atnaujinimų“.
