Microsoft prend le parti de ne pas corriger une faille de sécurité de type 0-Day présente dans son logiciel Skype car cela exigerait un travail trop important.
Le chercheur en sécurité Stefan Kanthak a mis le doigt sur une faille de sécurité dans Skype, le logiciel de communication via texte, audio et vidéo de Microsoft.
Plus précisément, c’est le procédé de mise à jour qui est touché et peut être victime d’une attaque de type injection de fichier DLL malveillant.
Concrètement, du code malveillant peut alors être exécuté avec des droits élevés (niveau de privilège SYSTEM) de type administrateur. Ensuite, le pirate peut tout aussi bien lancer un ransomware, voler, modifier ou supprimer des données utilisateurs…
Certes, ce type d’attaque n’est pas le plus simple qui soit, nécessitant un accès physique à la machine sur laquelle est installé Skype ou l’emploi de techniques de type malvertising (publicité en ligne visant à diffuser du code malicieux), mais il est tout à fait possible.
Le problème réside dans le fait que Microsoft est au courant de la vulnérabilité en question et ne prévoit pas pour autant de la corriger.
La firme de Redmond explique en effet que cette faille ne sera pas comblée dans le cadre des mises à jour de sécurité de Skype.
La justification ? Sa correction monopoliserait trop d’heures de travail des développeurs qui travaillent actuellement à une nouvelle version de Skype qui n’intègrera pas la faille en question. Mais pour l’instant, aucune date de sortie de ce nouveau client n’a été communiquée. En attendant, prudence donc…
[Source : Packet Storm]
