Kritik Skype Açığı

skype

Microsoft’un en popüler ücretsiz mesajlaşma ve sesli arama servisi Skype’da kritik bir güvenlik açığı keşfedildi. Ortaya çıkarılan güvenlik açığı sayesinde bilgisayar korsanları hedef makinede tam yetkiye sahip olabilir.

Haberin en kötü tarafı bulunan güvenlik açığı değil, bu güvenlik açığının Microsoft tarafından yakın zamanda düzeltilmeyecek olması.

Microsoft’un bahsi geçen güvenlik açığını kapatmamasının sebebi çözümünün bulunmaması değil. Güvenlik açığının kapatılması için yazılımın ciddi bir kısmı tekrar yazılmalı, dolayısıyla Microsoft’un yeni bir Skype sürümü yayınlaması gerekiyor.

Güvenlik açığı bir araştırmacı olan Stefan Kanthak tarafından keşfedildi ve Microsoft’a bildirildi. Kanthak’ın bulduğu güvenlik açığı Skype’ın güncelleme yükleyicisinde bulunuyordu.

Kısaca anlatmak gerekirse Skype’ın güncelleme yükleyicisi ilgili DLL dosyasını bulmaya çalıştığında, önce zararlı DLL dosyasını buluyor ve onu yüklüyor.

Kanthak bulduğu güvenlik açığını Skype’ın Windows sürümünde denedi ve gösterdi. Fakat açıklamasına göre MacOS ve Linux işletim sistemlerinde de çalışıyor.

Kanthak Microsoft’a bulduğu güvenlik açığını Eylül ayında bildirdi. Microsoft cevabında büyük bir kod revizyonu gerektiğini söyledi. Bu sebeple Microsoft, güvenlik güncellemesi yayımlamak yerine Skype istemcisinin güvenlik açığına yönelik yeni bir sürüm oluşturmaya karar verdi.

Güvenlik açığı Kanthak tarafından “orta” olarak derecelendirildi. Kanthak’ın güvenlik açığını anlattığı iki örneği henüz kendisi tarafından yayımlanmadı.