Microsoft’un mesajlaşma ve konuşma servisi Skype’da uzaktan zararlı kod çalıştırmaya imkân veren kritik bir açıklık keşfedildi.
Skype internet üzerinden ses, video ve mesajlaşma hizmeti sunan çevirim içi bir servis. Bu servis 2011 yılında Microsoft tarafından 8,5 Milyar USD karşılığı satın alınmıştı.
Almanya menşeili Vulnerability Lab güvenlik araştırmacısı Benjamin Kunz-Mejri tarafından keşfedilen ara bellek taşması açıklığı CVE-2017-9948 olarak kayıt edildi.
Zafiyet yüksek risk kategorisinde ve 7.2 CVSS puanına sahip. Skype’ın Windows XP, Windows7 ve Windows 8 için olan 7.2, 7.35 ve 7.36 sürümlerinde mevcut.
Sorun Skype’ın yerel sistem kopyalama istekleri için MSFTEDIT.DLL kütüphanesini kullanma şekli ile ilgili.
Uzak bağlantı panosuna imajların boyut ve adet sınırlamalarının güvenlik kısıtları bulunmamakta. Saldırgan EIP kaydını tekrar yazarak uygulamanın çökmesini sağlayabiliyor. Sonrasında da kendi zararlı kodunu uzaktan çalıştırabiliyor.
Microsoft’a 16 Mayısta bildirilen konu 8 Haziranda çıkan 7.37.178 sürümü ile düzeltilmiş oldu.