มีรายงานว่าพบช่องโหว่บน Skype เวอร์ชันเดสก์ท็อปในส่วนของตัวติดตั้งอัพเดต เมื่อถูกโจมตี จะสามารถทำให้ผู้ใช้งานได้รับสิทธิเข้าถึงระดับ system ในทันที

Stefan Kanthak นักวิจัยที่ค้นพบช่องโหว่นี้บอกว่าตัวติดตั้งอัพเดตของ Skype เรียกใช้งานไฟล์อีกตัวหนึ่งขึ้นมาเพื่อใช้ในการอัพเดต จึงสามารถถูกหลอกให้เรียกใช้โค้ดอันตรายที่อาจแฝงมาด้วยการใช้ DLL hijacking แทนที่จะเรียกใช้ไลบรารีที่ถูกต้องได้

DLL hijacking คือการที่ผู้โจมตีดาวน์โหลด DLL อันตรายไปยังโฟลเดอร์ชั่วคราว และเปลี่ยนชื่อเป็น DLL ที่มีอยู่แล้ว และผู้ใช้งานทั่วไปมีสิทธิแก้ไข เช่น UXTheme.dll เมื่อแอพตรวจพบ DLL อันตรายนี้ก่อนก็จะเรียกใช้เลย

Kanthak บอกอีกว่าได้แจ้งไมโครซอฟท์ตั้งแต่เดือนกันยายน ไมโครซอฟท์ตอบกลับมาว่าทราบถึงช่องโหว่แล้ว แต่การแก้ไขปัญหานี้จะต้องแก้โค้ดจำนวนมาก (Large code revision) จึงจะไม่ออกแพทช์ความปลอดภัยให้ แต่จะแก้ไขให้พร้อมกับออกเวอร์ชันใหม่เลย

ปัญหานี้พบเฉพาะบนเวอร์ชันเดสก์ท็อป เวอร์ชัน UWP ไม่ได้รับผลกระทบด้วย

ที่มา: ZDNet