Kritik Güvenlik Açığı: Skype Zero-Day

Bir güvenlik araştırmacısı bilgisayar korsanlarının kod çalıştırmasına ve yazılım çökertmesine yarayan bir Skype güvenlik açığı ortaya çıkardı. Her ne kadar Microsoft bu sorunu düzeltmek için güncelleme yayınlamış olsa da güncellemeyi yapmayan herkes hala tehdit altında.

Vulnerability Lab’in güvenlik araştırmacılarından Benjamin Kunz Mejri yaptığı konferans araması sırasında bir zero-day açığı keşfetti. Bahsi geçen güvenlik açığı 7.2 CVSS puanı ile yüksek güvenlik riskine sahip olarak değerlendiriliyor ve Skype’ın 7.2, 7.35, 7.36 sürümlerinde bulunuyor.

CVE-2017-9948 koduna sahip stack buffer overflow açığı bütün Skype kullanıcıları için ‘kiritik’ tehdit oluşturuyor.

Bu güvenlik açığı Windows 8 (x86) işletim sisteminin ‘MSFTEDİT.DLL’ dinamik link kitaplığını etkiliyor ve araştırmacıların açıklamalarına göre Skype yazılımının ‘clipboard format’ fonksiyonunda yer alıyor. Bu güvenlik açığını kullanarak saldırı yapmak isteyen bir bilgisayar korsanının sahip olması gereken tek şey düşük yetkili bir Skype hesabı. Saldırının gerçekleştirilebilmesi için kurbanlarla herhangi bir etkileşimde bulunulması gerekmiyor.

Güvenlik açığı 16 Mayıs tarihinde Microsoft’un Güvenlik Merkezi’ne bildirildi ve çözüm olarak Microsoft tarafından 8 Haziran’da Skype’ı 7.37 sürümüne yükselten bir güncelleme yayınlandı. Kullanıcıların bu tür bir saldırıdan kendilerini korumak için yapmaları gereken tek şey Microsoft tarafından yayınlanan güncellemeyi indirmek.