Omicrono, la tecnología de El Español

Omicrono

Skype tiene un grave bug de seguridad que no se puede arreglar sin reescribir el programa desde cero

Skype tiene un grave bug de seguridad que no se puede arreglar sin reescribir el programa desde cero

Un bug de skype está tan metido en el código del programa que Microsoft no puede arreglarlo sin reescribir todo el código.

Microsoft tiene una dura tarea por delante, ahora que se ha descubierto que uno de sus programas estrella, Skype, tiene un bug que ha echado raíces en su código fuente y que puede permitir tomar el control del sistema.

Normalmente, cuando se descubre un bug la solución suele ser sencilla: esperar a que los desarrolladores lo tapen con un parche. El proceso de programar el parche es la parte “fácil” y suele suponer unas líneas de código adicionales; lo realmente trabajoso es implementarlo sin que se rompa nada y sin abrir la puerta a más bugs.

El bug de skype que obliga a crear un nuevo programa

En el caso del bug descubierto en Skype por el investigador Stefan Kanthak, la cosa es más complicada. Solucionarlo no es tan simple como añadir unas líneas de código, ya que afecta a la manera en la que el programa funciona y está programado; en otras palabras, hay que cambiar casi todo el código desde cero.

Y no es un bug que se pueda ignorar, ya que puede ser aprovechado para realizar una técnica llamada DLL hijacking, o secuestro de DLL; un archivo DLL es una librería de funciones que pueden usar los programas. El ataque permite descargar una librería dll con código malicioso en una carpeta del usuario, y renombrarla con el mismo nombre de una librería normal del sistema.

(Patrick Wardle)

Cuando Skype se actualiza, ejecuta un archivo diferente que es el que se encarga de descargar las partes que necesita; es este programa el que es vulnerable al DLL hijacking, y es a partir de este que un atacante podría ganar permisos de administrador en nuestro sistema.

Microsoft trabaja en renovar completamente Skype

bug de skype

Con este salto de privilegios, el atacante no estaría limitado a las carpetas del usuario, sino que tendría acceso a todo el sistema; según Kanthak, aunque este bug ha sido probado en Windows, también se puede aplicar a Mac y a Linux.

Microsoft fue avisada de este bug el pasado septiembre de 2017, pero aún no ha lanzado un parche, pero eso es porque no puede; arreglar este problema supondría una “gran revisión de código”, en otras palabras, reescribir el programa prácticamente desde cero.

Es por eso que Microsoft no lanzará un parche para este bug; en vez de eso lanzará una nueva versión de Skype creada desde cero, para la que ha dedicado “todos los recursos”. Aún no hay fecha oficial para el lanzamiento de esta nueva versión, pero es de imaginar que además de la solución al bug incluirá varias novedades.