Skype tiene una vulnerabilidad grave, y Microsoft no va a solucionarla

Escrito por Rubén Velasco
Mensajería instantánea

No podemos negar que Microsoft se está tomando en serio la seguridad de sus productos, tanto de Windows como del resto de sus aplicaciones. Todos los meses, como os contábamos hoy, Microsoft suele lanzar sus parches de seguridad con los que corregir todo tipo de vulnerabilidades en Windows y sus demás productos. Sin embargo, en ocasiones, la compañía se niega a reconocer alguna vulnerabilidad, poniendo en peligro a los usuarios, como ocurre con un fallo crítico recién detectado en Skype, su cliente de mensajería.

Tal como podemos leer en Capec, recientemente se ha detectado una vulnerabilidad en Skype, el cliente de mensajería instantánea de Microsoft para texto, voz y vídeo, que puede permitir a un pirata informático tomar el control de cualquier ordenador que utilice una versión vulnerable de Skype, es decir, todas.

Este fallo de seguridad se encuentra en el instalador de actualizaciones del cliente de mensajería, y es que es susceptible a la suplantación de las librerías Dynamic Link Libraries (DLL). Según el experto de seguridad que lo ha descubierto, el fallo en sí se debe a que, al actualizar el cliente de mensajería, este busca las librerías necesarias primero en el propio directorio del proceso y después en otro directorio global.

De esta manera, un pirata informático podría encargarse de que el instalador de actualizaciones de Skype descargue el instalador en un directorio temporal diferente, junto a una librería DLL maliciosa que suplante a las librerías originales, de manera que, cuando se ejecute, se cargue esta librería maliciosa en el equipo, pudiendo comprometer la seguridad de los usuarios, independientemente de su nivel de privilegios.

Aunque la vulnerabilidad ha sido considerada como “gravedad media“, este investigador de seguridad asegura que es muy sencilla de explotar, y que supone un grave riesgo para los usuarios. Además, aunque ha demostrado la existencia de la vulnerabilidad en Windows, aunque fácilmente se podría llevar a otros sistemas, como Linux y macOS.

Skype nuevo diseño

Microsoft pone excusas para no solucionar la vulnerabilidad de Skype

Este investigador de seguridad reportó el fallo a Microsoft el pasado mes de septiembre de 2017, sin embargo, Microsoft dijo que solucionarla implicaba una revisión completa del instalador de las actualizaciones y que no era viable lanzar un parche para corregir este fallo de seguridad.

Microsoft está trabajando en un nuevo instalador de actualizaciones completo para Skype, motor que, en teoría, debería solucionar esta vulnerabilidad. Sin embargo, por el momento, no se sabe nada de esta nueva versión del instalador de actualizaciones de Skype, por lo que los usuarios que utilicen la versión normal de Skype en sus ordenadores son vulnerables.

Cómo protegernos de este fallo de seguridad hasta que Microsoft lo corrija completamente

Para protegernos de esta vulnerabilidad, lo mejor que podemos hacer es, si utilizamos Windows 10, instalar la versión UWP desde la Microsoft Store, ya que como esta versión utiliza otro sistema de actualizaciones no es vulnerable a este fallo de seguridad.

Skype
Price: Free

El resto de versiones instalables normales de Skype son vulnerables, por lo que, lo mejor que podemos hacer, hasta que Microsoft publique la nueva actualización segura, es evitar utilizarlas, salvo que sea necesario, además de tener mucho cuidado con los enlaces que pulsamos. Un antivirus totalmente actualizado también debería ser capaz de detectar las librerías maliciosas antes de poner en peligro nuestro sistema.

¿Utilizas Skype? ¿Crees que Microsoft a veces deja demasiado de lado la seguridad de algunos de sus productos?

Fuente > capec

Compártelo. ¡Gracias!
Continúa leyendo