Uma falha de segurança no processo de atualização do Skype pode permitir que um atacante obtenha privilégios de administração num computador vulnerável.

A falha, se devidamente explorada, pode escalar um utilizador local, sem privilégios de administração, para um utilizador com privilégios totais sobre o sistema.

A Microsoft, que possui o serviço de chamadas de voz e vídeo, disse que não corrigirá imediatamente a falha, porque o erro exigiria muito trabalho.

A falha foi descoberta pelo especialista Stefan Kanthak. Ele verificou que o instalador de atualizações do Skype poderia ser eplorado com uma técnica de “hijacking DLL”m, que permite que o atacante “engane” o software entregando-lhe a DLL errada – a maliciosa. O atacante pode armazenar a DLL maliciosa numa pasta temporaria acedida pelo utilizador e e renomeá-la para um DDL existente, p.ex., UXTheme.dll. Este ataque funciona na perfeição porque quando o sofware procura pela DLL esta aparece em primeiro lugar.

Depois bem sucedido, o atacante pode fazer “qualquer coisa” no sistema operativo, pois ele tem privilégios de administração.

Espera-se um update, sem data, por parte da Microsoft.