O Skype é, hoje em dia, uma das mais usadas apps de conversação. A compra que a Microsoft fez mostrou-se acertada e esta é hoje a principal ferramenta de comunicação da Microsoft.
Uma falha revelada veio mostrar uma fragilidade no Skype, que não será resolvida em breve. Segundo a Microsoft o trabalho necessário para a resolver é demasiado e terá de ficar para mais tarde a sua solução.
Foi o investigador de segurança Stefan Kanthak que em setembro passado revelou à Microsoft a falha que afeta o Skype. Segundo o que é descrito, é possível que uma atualização desta aplicação possa carregar código malicioso, através de um processo que força o carregar de uma DLL maliciosa.
A falha de segurança do Skype
O processo é simples e requer apenas que o atacante tenha acesso ao sistema de ficheiros, não necessitando qualquer acesso físico. Ao colocar uma DLL maliciosa no sistema operativo, numa pasta temporária, esta consegue ser carregada e injeta depois o código malicioso na aplicação.
O investigador que descobriu o problema revelou também que a falha não se limita ao Windows, podendo ser explorada igualmente no macOS e no Linux. Stefan Kanthak revelou ainda que uma atualização não deverá resolver este problema do Skype.
O (não) compromisso da Microsoft
Corrigir este problema parece ser mais complexo do que o pretendido, pelo menos para a Microsoft. Segundo a empresa será necessário reescrever grande parte do código do Skype para que a falha seja mitigada de forma total.
É precisamente aqui que reside o problema da Microsoft. Segundo o que a empresa revelou, esta correção demorará demasiado tempo e consumirá demasiados recursos para que seja realizada no imediato. Não é claro que a Microsoft vá corrigir o problema do Skype e, caso o faça, não tem uma data definida.
Assim, fica sem correção imediata uma falha grave do Skype, que apenas será tratada mais tarde, quando a Microsoft entender refazer o seu cliente, reescrevendo grande parte do código.