В Skype обнаружена критическая уязвимость, которая позволяет злоумышленнику удаленно вызвать сбой приложения и запустить на компьютере жертвы исполнение вредоносного кода. Уязвимость, получившая название CVE-2017-9948, присутствует в версиях Skype 7.2, 7.35 и 7.36. Она была обнаружена исследователем кибербезопасности Бенджамином Кунц-Мейри (Benjamin Kunz-Mejri), основателем компании Vulnerability Lab. По шкале Общей системы оценки уязвимостей (CVSS) баг получил 7,2 балла.

Vulnerability Lab сообщила Microsoft о наличии уязвимости 16 мая 2017 г. Microsoft признала существование проблемы и разработала патч, который был развернут 8 июня. Уязвимость была устранена в версии Skype 7.37.178. Пользователям следует убедиться, что их приложение обновлено, чтобы избежать угрозы, советует компания.

CVE-2017-9948 представляет собой ошибку переполнения буфера в стеке, которая позволяет злоумышленнику удаленно обрушить Skype на компьютере жертвы с помощью неожиданной ошибки исключения, а также перезаписать регистр активных приложений и исполнить вредоносный код на компьютере. Проблема возникает, когда Skype обращается к файлу MSFTEDIT.DLL в процессе выполнения запроса на копирование в локальной системе.

Чтобы подтвердить наличие уязвимости в MSFTEDIT.DLL, команда Vulnerability Lab скопировала из буфера и вставила в окно сообщения Skype специально сгенерированный файл-изображение. Когда изображение было размещено одновременно в буфере удаленной и локальной системы, непосредственно в момент его передачи возникло переполнение буфера в стеке, которым может воспользоваться злоумышленник. Для этого ему не нужно взаимодействовать с аккаунтом жертвы, достаточно иметь свой пользовательский аккаунт с низким уровнем привилегий. У удаленного буфера нет никаких ограничений безопасности на размер и количество передаваемых файлов.