นักวิจัยด้านความปลอดภัย Stefan Kanthak พบช่องโหว่ในตัวติดตั้งอัพเดตของ Skype ที่เปิดช่องให้เจาะระบบผ่าน Dynamic Link Libraries (DLL) ได้ และเข้าควบคุมเครื่องโฮสต์เป้าหมายด้วยสิทธิ์ระดับแอดมินสูงสุดแม้จะล็อกอินด้วยผู้ใช้ระดับทั่วไป ซึ่งถือเป็นช่องโหว่ร้ายแรงมากบนบริการส่งข้อความและวอยซ์ชื่อดังของไมโครซอฟท์เอง
ข่าวร้ายกว่าคือ ไมโครซอฟท์ไม่สามารถรีบพัฒนาแพทช์ออกมาได้ในเวลารวดเร็วเหมือนช่องโหว่ทั่วไปได้ เนื่องจากช่องโหว่นี้ฝังรากลึกจนต้องแก้แบบยกเครื่องโปรแกรมใหม่ทั้งหมด ซึ่งคาดว่าไมโครซอฟท์น่าใช้วิธีทำโปรแกรม Skype เวอร์ชั่นใหม่ขึ้นมาแทนการออกแพ็ตช์แค่อุดช่องโหว่ดังกล่าว
ทางนักวิจัยที่ค้นพบช่องโหว่อธิบายว่า แฮ็กเกอร์สามารถอาศัยตัว DLL Loader บนวินโดวส์ที่คอยมองหาไฟล์ DLL ในไดเรกทอรีเดียวกันเพื่อโหลดมาประมวลผลก่อนไบนารีที่อยู่ไดเรกทอรีอื่น ซึ่งทำให้แฮ็กเกอร์ดาวน์โหลดและฝังไฟล์ DLL ที่เป็นอันตรายในโฟลเดอร์ชั่วคราว พร้อมแก้ชื่อไฟล์ให้ตรงกับ DLL ที่จะโดนโหลด ซึ่งไฟล์นี้ถูกแก้ได้โดยผู้ใช้ทั่วไปที่ไม่ได้รับสิทธิ์เป็นแอดมินก็ได้
และเมื่อตัวติดตั้งอัพเดตของ Skype คอยมองหาไฟล์ DLL ที่เกี่ยวข้องเหมือนที่เคยทำประจำนั้น ไฟล์ DLL อันตรายที่ปลอมตัวมาก็จะถูกนำไปติดตั้งลงบนระบบด้วย และเชื่อว่าการโจมตีนี้ได้ผลกับทุกระบบปฏิบัติการไม่ว่าจะเป็นวินโดวส์, แมค, หรือลีนุกซ์
ทั้งนี้ Kanthank ได้รายงานบั๊กนี้ให้ไมโครซอฟท์ไปตั้งแต่กันยายนปีก่อน แต่ไมโครซอฟท์แจ้งเขากลับมาว่าการแก้ไขช่องโหว่นี้จำเป็นต้องโละยกเครื่องโค้ดโปรแกรมใหม่ทั้งหมด
ที่มา : thehackernews
