Skype, propiedad de Microsoft, tiene una gran falla de seguridad que podría permitir que un atacante obtenga el control de las computadoras Mac, Windows y Linux. Lo peor es que Microsoft no planea arreglar la falla, al menos por ahora, porque equivale a reescribir todo el instalador de la actualización de la aplicación.
La falla de seguridad está en el instalador de la actualización de la aplicación y, si se explota, podría permitir que los atacantes obtengan acceso de nivel de administrador incluso si la víctima está conectada a su computadora como un usuario estándar. Desde allí, pueden copiar y eliminar archivos, instalar otras aplicaciones, acceder a información personal y más.
Microsoft fue alertado sobre la falla en septiembre de 2017 y pudo reproducirla en sus propias computadoras. De las notas de Seclist de Stefan Kanthak:
Los ingenieros me proporcionaron una actualización sobre este caso. Revisaron el código y pudieron reproducir el problema, pero determinaron que la solución se implementará en una versión más nueva del producto en lugar de una actualización de seguridad. El equipo está planeando enviar una versión más nueva del cliente, y esta versión actual poco a poco quedará obsoleta.
Las notas hacen referencia a una vulnerabilidad de inyección de DLL específica de Windows como la necesidad de reescribir el código, lo que aparentemente Microsoft aún no está preparado para hacer. Eso significa que el sistema de actualización automática en Skype es un riesgo de seguridad si alguien decide que quiere explotarlo, y permanecerá así hasta que se publique la versión reescrita y los usuarios la instalen.
