Si salvi chi può: disinstallate subito Skype! (aggiornato)

14 febbraio 2018 ore 11:00 | di | 28 commenti

PanicoSe utilizzate Skype, c’è una cattiva notizia ed una tragica.

Il software di messaggistica di Microsoft è affetto da una colossale falla di sicurezza che può consentire ad un malintenzionato di prendere il pieno controllo del computer della vittima, e dal momento che a Redmond le cose le fanno bene, la vulnerabilità non riguarda solo Windows, ma anche Mac e Linux. E questa è la cattiva notizia.

Ora la tragica: Microsoft è stata avvisata del problema a settembre 2017, i suoi esperti di sicurezza sono stati anche in grado di riprodurre la vulnerabilità, ma non hanno intenzione di risolvere il problema, almeno per ora, perché dovrebbero riscrivere l’intero programma di installazione degli aggiornamenti di Skype, meccanismo dove e si annida la falla.

Il problema è che Skype è praticamente uno standard a livello aziendale, soprattutto per quanto riguarda le videoconferenze di gruppo, e quindi non tutti potranno disinstallarlo e utilizzare alternative come FaceTime.

Aggiornamento del 16 febbraio: non c’è alcuna falla di sicurezza nell’attuale versione di Skype 8, il problema riguarda la versione precedente. Per ulteriori informazioni click qui

Approfondimenti: ,

Argomento: iOS, Mac

Commenti (28)

RSS commenti

  1. Mario ha detto:

    Sono d’accordo, hai assolutamente ragione: è la prima cosa che ho fatto quando ieri sera ho letto la notizia.

  2. Stefano ha detto:

    cioe il consiglio è quello di eliminare il programma? e chi lo usa come fa? come si puo difendere?

  3. Fabio ha detto:

    Ho provato rapidamente a cercare qualcosa al riguardo, ma non ho trovato la risposta alla mia domanda, qualcuno ha modo di verificare se è stato riprodotto il bug anche su sistemi unix in generale o macos nello specifico? Perché da quello che ho letto il fatto che la filosofia di dll da una parte e dylib dall’altra sia analoga presuppone che sia replicabile ovunque, ma mi chiedo, il sistema di update è effettivamente lo stesso identico medesimo?

    • Stefano Donadio ha detto:

      È spiegato nell’articolo, i tecnici Microsoft hanno riprodotto il problema, e riguarda Windows, Mac e Linux.

      • Fabio ha detto:

        Ben l’articolo siceramente non esplicita questa cosa, dice che hanno riprodotto il DLL hijacking e la menzione a sistemi non Windows riguarda esclusivamente questa frase, in quell’articolo.

        “”Windows provides multiple ways to do it,” he said. But DLL hijacking isn’t limited to Windows, he said — noting that it can apply to Macs and Linux, too.”

        Che giust’appunto indica come il dll hijacking sia possibile anche su altri sistemi (dylib hijacking per macos), ma in senso generico, che è ben diverso dal dire che questo bug in particolare riguardi anche altre piattaforme.

        Inoltre sono andato a vedere gli altri link collegati a questo bug specifico come ad esempio http://seclists.org/fulldisclosure/2018/Feb/33 e ci sono sempre esempi su piattaforma Windows, per quello chiedevo se si hanno notizie precise riguardo all’affezione anche su di altre piattaforme.

  4. Mario ha detto:

    Io l’ho disinstallato da mac e cellulare, perché lo uso rarissimamente ormai. Per chi non può eliminarlo, è certamente un grosso problema.

  5. giox21 ha detto:

    Ciao Stefano, quindi, secondo il tuo parere, potenzialmente coinvolge anche la versione iOS?

    Sul Mac l’ho disinstallata….sto valutando se eliminarla anche dall’iPhone…😤

    Grazie ✌🏼

    • Mauro ha detto:

      Avrei anch’io la stessa domanda, anche se non credo su iOS sia un problema

    • Stefano Donadio ha detto:

      Tutti gli esperti parlano di Windows, Mac e Linux, perchè condividono lo stesso sistema di aggiornamento di Skype. Non viene menzionato iOS, e neppure Android, ma non è chiaro se per una dimenticanza. Se trovo informazioni utili, aggiorno l’articolo (ve ne accorgerete perchè nel titolo apparirà “aggiornato” tra parentesi).

  6. GianGix ha detto:

    Disinstallato da tempo, arrivavano solo messaggi fake e tanti problemi vari. Pessimo, Microsoft l’ha rovinato.

  7. Massy ha detto:

    In teoria chi non può farne a meno potrebbe utilizzare momentaneamente e all’occorrenza la versione web. A quanto pare, visto che il problema è legato al sistema di aggiornamenti e al codice del software, dovrebbe essere un’opzione più sicura. Cosa ne pensi Stefano?

  8. Roberto ha detto:

    Ma è possibile che ovunque metta le mani Microsoft succedano disastri???

  9. alfonso ha detto:

    per fortuna, mai installato…

  10. Ambacione ha detto:

    Questo problema vale anche per Skype for Business?

  11. Elio ha detto:

    Grazie, Stefano. Microsoft continua a deludere. Perfino Skype non è più sicuro. Una domanda: ma se disinstallo il programma , il mio credito che fine farà?

  12. Nello ha detto:

    Grazie come solito a Stefano per il tempestivo allarme
    seguendo lo sviluppo degli aggiornamenti che lo hanno trasformato sempre più in un connettore di pubblicità, in azienda siamo passati a Skype web per tamponare in attesa di passare ad uno strumento economicamente accettabile (lo Skype aziendale prevede un costo per utente mese significativo) Grazie come solito a Stefano per il tempestivo allarme

  13. Enrico ha detto:

    A nessuno è venuto in mente un possibile collegamento “malizioso” tra la scoperta di questa magagna “incorreggibile” e la difesa dell’opportunità delle backdoor da parte di Gates?

    Io ho persino pensato che l’incredibile falla dell’accesso root senza password in High Sierra fosse un modo di “calare le braghe” di Apple proprio su quella questione …

Aggiungi un commento