Seguridad

Una vulnerabilidad en el código de Skype obliga a reescribirlo desde cero

consejos para hacer una entrevista de trabajo por Skype con éxito
Escrito por Marcos Merino

El bug dotaría al potencial ciberatacante del control de la totalidad del sistema operativo, pero a ojos de Microsoft cubrir el agujero de seguridad requeriría “demasiado trabajo” y prefiere dedicar sus recursos a lanzar una nueva versión del programa.

Microsoft ha detectado que una vulnerabilidad del proceso de actualización de Skype permite a un potencial atacante obtener privilegios de acceso total al sistema, es decir, a cualquier rincón del sistema operativo. Lo extraño no es la aparición de un error de esta clase, sino la respuesta de la compañía propietaria del software: Microsoft ha anunciado que conoce este problema desde septiembre, pero que no piensa solventarlo en breve, pues requeriría de “demasiado trabajo”.

Detectan vulnerabilidad de Microsoft Office que compromete tu PC aunque no lo uses

Según el investigador de seguridad Stefan Kanthak, el método concreto que permite atacar al instalador de Skype es el “DLL jihacking”‘ o “secuestro de DLLs”, que permite descargar una DLL maliciosa es un directorio temporal accesible por el usuario, y cambiarle el nombre, engañando al programa de videoconferencias para que cargue el código que proporciona en lugar de la DLL correcta. Y una vez se obtienen los mencionados privilegios de acceso al sistema, un atacante “puede hacer cualquier cosa”, afirma Kanthak, se convierte en un “‘administrador’ con esteroides”. Robar archivos, eliminar datos o retener datos mediante la ejecución de ransomware son sólo algunos ejemplos de las posibles consecuencias que podría tener un ataque.

Entonces… ¿cómo se explica que Microsoft no esté ya a punto de sacar la actualización de seguridad? Porque condiciona tanto el código del conjunto del programa que no se puede arreglar sin reescribir Skype desde cero, de modo que los esfuerzos de la compañía no se están centrando en solucionar esta vulnerabilidad, sino en desarrollar una nueva versión totalmente renovada del cliente de videoconferencia. Es de suponer que, una vez se lance, lo menos relevante de dicha versión sea la solución a este agujero de seguridad, pues Microsoft sin duda aprovechará para dotarlo de nuevas funcionalidades. En cualquier caso, aún no hay fecha oficial para el lanzamiento de este nuevo Skype.

Vía | ZDNet

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.