Хоча колись Skype був одним із кращих месенджерів, у 2018 році він поступається хіба що усім конкурентам. Нещодавно стало відомо про ще одну серйозну дірку, про яку Microsoft знала вже мінімум півроку. Замість того, щоб випустити виправлення, у компанії вирішили просто зробити недоступною більше для завантаження класичну версію Skype.
Серйозна уразливість у Skype
Дослідник Стефан Кенсек виявив у месенджері Microsoft серйозну уразливість, яка дозволяє зловмисникам отримати повний доступ до операційної системи жертви. Схема працює за принципом «викрадення DLL-бібліотек» і перенаправляє установник оновлень Skype на шкідливий код, а не на потрібні файли оновлення. При установленні нової версії Skype використовує окремий виконавчий файл для власного компонента оновлення. Саме цей процес можна легко експлуатувати для шкідливих цілей.
Цього разу під загрозу потрапили навіть не акаунти користувачів Skype, а їх комп’ютери, до яких зловмисники можуть отримати повний доступ. За кілька місяців інженери Microsoft не потурбувалися створенням фіксу для такої серйозної уразливості, оскільки для цього потрібно було переписати велику кількість коду. Хакеру, що виявив дірку, набридло чекати обіцяної інженерами заплатки, і він виклав інформацію про спосіб злому Skype у публічний доступ.
Оригінальне рішення проблеми від Microsoft
Здавалося б, зараз у компанії Microsoft, дізнавшись про цю уразливість, повинні були в екстреному порядку розгорнути роботи із виправлення та “латання” діри. Але це ж Microsoft!!!! Замість цього вже через день на форумах Microsoft з’явилося офіційне повідомлення від розробників: “Ми в Skype ставимося до безпеки дуже серйозно. У старих версіях Skype (7.40 і нижче) була виявлена уразливість, тому ми прийняли рішення видалити посилання на їх завантаження з нашого сайту. Нові версії Skype (8 і вище) не містять зазначеної уразливості та були доступні починаючи з жовтня 2017”.
На перший погляд повідомлення виглядає цілком нормальним, як і дії щодо виправлення уразливості, вжиті командою Skype. Проте, мета цієї заяви – зробити читача дурнем, але не більше того. Справа в тому, що Skype 7 і Skype 8 – абсолютно різні програми. Skype 7 прийнято називати класичною версією, доступною для Windows 7 і вище. Вона найбільш функціональна й стабільна. Skype 8 – новий проект Microsoft для Windows 7, 8 і ранніх релізів Windows 10, який є аналогом клієнтів месенджера для Android та iOS.
Чому це погано для простого користувача?
Знайдена уразливість стосується класичної повноцінної версії Skype, яка до цього моменту підтримувалася Microsoft паралельно з іншими клієнтами сервісу. Цьому принципу, судячи з усього, прийшов кінець. Разом із публікацією наведеної вище заяви Microsoft стерла усі згадки про Skype 7 зі свого сайту. Користувачам Windows 10 тепер пропонується використовувати універсальний застосунок Skype, а іншим – новий клієнт Skype 8. Що робити користувачам, яким потрібна стабільність, тонке налаштування та плагіни, які не підтримуються новими програмами, не уточнюється.
На час публікації цієї новини ви все ще можете завантажити установники класичної версії Skype за прямими посиланнями: EXE-файл/MSI-файл. Є ймовірність, що ці посилання перестануть працювати вже найближчим часом, так що покваптеся скористатися ними. Тільки майте на увазі, що виправляти вразливість у цій версії Skype ніхто не збирається.
Мабуть, у компанії Microsoft вирішили вчинити за принципом: “Немає програми – немає проблем”.
Джерело: Microsoft
