Skype驚爆洩密漏洞 微軟坦認「無救」

By on February 15, 2018

原文刊於信報財經新聞專欄「StartupBeat創科鬥室

微軟稱,修補Skype的漏洞「治標不治本」。(微軟資料圖片)

微軟稱,修補Skype的漏洞「治標不治本」。(微軟資料圖片)

微軟(Microsoft)旗下即時通訊程式Skype,被保安專家揭發有嚴重漏洞。當用戶更新程式時,黑客可輕易入侵其電腦,並取得系統所有權限。微軟對此表示,修復漏洞涉及改寫大量編碼,故不會即時搶修。

科技媒體ZDNet日前報道,保安研究員Stefan Kanthak去年發現,有黑客用經過修改的DLL(Dynamic Link Library),偽裝成相同名稱的原有檔案,並放到目標電腦的臨時資料夾內;當用戶更新Skype程式時,同時會啟動該DLL的惡意代碼,為黑客入侵大開方便之門。

Kanthak警告這種攻擊十分危險,因為只需要兩項指令,即可把惡意程式植入系統。當黑客取得系統權限後,就可在目標電腦為所欲為,包括存取數據、刪除檔案等,甚至勒索用戶付贖金。今次漏洞不但影響Windows用戶,連Mac及Linux系統亦受害。

Telegram變挖礦溫床

對於以上漏洞,Kanthak早於去年9月知會微軟,惟當時對方回覆,他們雖有能力修補,但做法「治標不治本」,入侵或許陸續有來。因此微軟打算增撥資源,開發全新用戶端。

此外,俄羅斯網路保安公司Kaspersky Lab早前發現,即時通訊程式Telegram的桌面版本,自去年3月起已植入惡意挖礦軟件(Crypto Mining Malware)。該程式主攻俄羅斯用戶,黑客利用他們的個人電腦,挖掘Monero及Zcash等加密貨幣,懷疑跟當地網絡犯罪分子有關。

Kaspersky Lab去年10月就事件通報Telegram,問題隨即在11月修復。Telegram今年2月發表聲明重申,當用戶被誘騙下載圖片檔時,有關漏洞才會起作用,並非該電腦程式有問題。

Skype 今次漏洞不但影響Windows用戶,其他系統亦受害。(微軟資料圖片)

Skype 今次漏洞不但影響Windows用戶,其他系統亦受害。(微軟資料圖片)

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們