Il bug scoperto dal ricercatore di sicurezza Stefan Kanthak è stato risolto in Skype 8, la nuova versione rilasciata ad ottobre 2017. Microsoft ha quindi rettificato la dichiarazione precedente, con la quale affermava che la vulnerabilità sarebbe stata patchata solo con una futura versione del client di messaggistica.
Il ricercato tedesco aveva individuato il bug nell’installer di Skype. Sfruttando un attacco di tipo DLL Search Order Hijacking, un malintenzionato potrebbe copiare una DLL infetta nella directory temporanea usata durante la procedura di aggiornamento e rinominarla come una DLL legittima. Se la DLL modificata viene caricata in memoria è possibile ottenere l’accesso con privilegi SYSTEM al sistema operativo ed eseguire qualsiasi operazione, come il furto di documenti, la cancellazione dei file e l’installazione di malware. Un simile attacco è più semplice da mettere in pratica su Windows, ma funziona anche su macOS e Linux.
Microsoft aveva dichiarato che il team di sviluppo è attualmente al lavoro sulla nuova major release di Skype, quindi non verrà distribuita nessuna patch per la versione attuale. Un ingegnere dell’azienda di Redmond ha ora chiarito che il bug è presente solo nell’installer di Skype 7.40 (e versioni precedenti) per desktop Windows. Le vecchie release sono state rimosse dal sito skype.com. In ogni caso, gli utenti che hanno già installato il client non corrono nessun rischio.
Il problema non è presente nell’installer di Skype 8.x disponibile dalla fine di ottobre 2017. È quindi consigliabile scaricare e installare la versione più recente.