ACTUALIZADO: Microsoft no parchará vulnerabilidad de Skype en el corto plazo.-



15-02-2018  Actualización: La compañía indicó que el problema en el proceso de actualización de Skype, se ve solucionado en la versión 8 de Skype. Aún así no se lanzarán mas parches para la versión 7 en la cual se vio afecta la vulnerabilidad.


Una grave vulnerabilidad fue descubierta en la famosa aplicación Skype, perteneciente al gigante de la industria Microsoft, el cual puede permitir a un atacante, ganar privilegios a nivel de sistema. Como sabemos, todas las aplicaciones poseen sus errores de programación, y nada es invulnerable... el problema se suscita cuando la empresa, no liberará un parche en el corto plazo de una vulnerabilidad de nivel critico, lo cual deja a sus usuarios expuestos a graves problemas de seguridad.

Microsoft informó que no liberarán un parche en corto plazo, pero no es por que la vulnerabilidad fuera imparchable, si no que indico que para poder solucionar la falla, hay que modificar demasiado código fuente de la aplicación, y varios segmentos escribirlos de nuevo.

La vulnerabilidad ha sido descubierta e informada a Microsoft, por el investigador de Seguridad Stefan Kanthak. Esta vulnerabilidad reside en el instalador de actualizaciones de Skype, el cual es susceptible a secuestro de DLL, y solo afecta a la versión de escritorio de Windows.

La explotación de la vulnerabilidad busca permitir a un atacante secuestrar el proceso de actualización, descargando y reemplazando una versión Maliciosa del DLL dentro de las carpetas temporales de Windows.

Como el código de modificación es tan grande, Microsoft esta planteando poder dar solución de la vulnerabilidad, en una nueva versión de la Aplicación.


Linea de tiempo de la vulnerabilidad

Timeline:
~~~~~~~~~

2017-09-02    vulnerability report sent to vendor

2017-09-03    reply from vendor: "MSRC case 40550 opened"

2017-09-06    notification from vendor's case manager: "report passed
              to product group for investigation"

2017-10-27    reply from vendor's case manager:

              "The engineers provided me with an update on this case.
               They've reviewed the code and were able to reproduce
               the issue, but have determined that the fix will be
               implemented in a newer version of the product rather
               than a security update. The team is planning on shipping
               a newer version of the client, and this current version
               will slowly be deprecated. The installer would need a
               large code revision to prevent DLL injection, but all
               resources have been put toward development of the new
               client."

2018-02-09    report published