К сожалению, установщик для Skype может быть использован злоумышленниками для доступа не только к данным пользователя, но и к взлому DLL-файла. Это чревато подменой библиотеки от разработчика вредоносным кодом. Но главное то, что Microsoft пока не в состоянии исправить эту ситуацию.
Эта уязвимость позволяет злоумышленнику загрузить собственный зараженный DLL-файл во временную папку. Эта папка доступна пользователю, а ее название полностью идентично названию основной папке. Изменить ее содержание можно без прав администратора. Во время обновления Skype, используется эта папка, подверженная уязвимости.
Этот баг замечен не только на Windows, но также на Linux и macOS. Благодаря этому, злоумышленник может получить расширенные права для удаленного доступа, а, следовательно, может сделать практически все что угодно. Известно, что Microsoft осведомлена об этой проблеме еще с сентября. Для того, чтобы избавиться от уязвимости, разработчикам нужно переписать большую часть кода. Сейчас же ведется работа над совершенно новой версией программы без уязвимости.
