Microsoft’ün popüler web mesajlaşma ve sesli arama servisi Skype’da, saldırganların tüm denetimini ele geçirmesine izin verebilecek ciddi bir güvenlik açığı keşfedildi. Üstelik, bu güvenlik açığının Microsoft tarafından kısa sürede düzeltilmeyeceği açıklandı. Çünkü yazılımın yeniden yazılmasını gerektiren bir açık olduğu ve bu nedenle yeni bir Skype sürümü yayınlanması gerektiği kaydedildi.
Geçen haziranda da ciddi bir Skype açığı ortaya çıkmıştı. Microsoft, hacker’ların bilgisayar sistemini çöktüren ve kötü amaçlı kod çalıştırmasına izin veren bu açığa karşı o dönemde yama yayınlamıştı.
Güvenlik açığı, güvenlik araştırmacısı Stefan Kanthak tarafından keşfedildi ve Microsoft’a bildirildi. “Orta düzeyde ciddi” olarak sınıflandırılan açık için Kanthak “kolayca kullanılabiliyor” dedi. Güncelleme kurulumundaki açığın Dinamik Bağlantı Kitaplığının (DLL) ele geçirilmesini mümkün kılıyor. Kanthak, bu şekilde, saldırganın bir DLL dosyasının kötü amaçlı bir sürümünü Windows PC’nin geçici bir klasörüne indirip yerleştirebileceğini ve böylece de özel hesap önceliklerine sahip olabileceğini söylüyor.
Kanthak, saldırının Windows sürümünü Skype kullanarak gösterdiğini ve diğer işletim sistemlerinde de (MacOS ve Linux için Skype sürümleri) çalışabileceğini düşünüyor. Açığı Microsoft’a geçen eylülde bildirdiğini söyleyen Kanthak, Microsoft’un Skype için “büyük bir kod revizyonu” gerektiren bir düzeltme gerektirdiği şeklinde cevap verdiğini iletiyor. Dolayısıyla, Microsoft, bir güvenlik güncelleştirmesini yayımlamak yerine Skype istemcisinin güvenlik açığına yönelik tamamen yeni bir sürümünü oluşturmaya karar verdiği kaydediliyor.
Microsoft yeni sürümü yayınlayana kadar Skype kullanıcılarının dikkatli olmaları ve artık klasik hale gelmiş olan “bilmediğiniz kişilerden gelen e-postalardaki linklere ve eklere tıklamayın” uyarısını ciddiye almaları gerekli.