Varnostna luknja se nahaja v sistemu nadgradnje oziroma namestitve nadgradenj Skypa. Napako je našel računalniški varnostni inženir Stefan Kanthak, gre pa za nekaj, čemur pravijo »DLL hijacking«, oziroma za »ugrabljanje« knjižic(e) DLL. In kaj je DLL? DLL so »dinamično povezane knjižnice«, preprosto povedano pa gre za majhne programčke, ki so uporabni v različne namene, zaženejo pa se po potrebi in ko jih »pokliče« eden ali več glavnih programov. Primer uporabe datoteke DLL je recimo tiskanje. Tiskamo lahko iz velikega števila programov – urejevalnika besedil, elektronske preglednice, spletnega brskalnika… Vsak od teh programov se mora znati »pogovarjati« s tiskalnikom. To bi načeloma moralo pomeniti, da ima vsak program vgrajen svoj gonilnik za tiskalnik, kar pa je zelo nepraktično in pravzaprav neumno, saj je treba v različne programe vstavljati eno in isto kodo. In v primeru hkratne uporabe več programov bi v pomnilniku (RAM) bilo kar nekaj kode, ki se ponavlja. In tu pride do izraza DLL. V sistemu je knjižnica (ali več njih), zadolžena za tiskanje, ki jo lahko »pokličejo« različni programi takrat, ko hočemo kaj natisniti. Knjižnice so torej dinamično povezane s programi. To v praksi pomeni vsaj dvoje – programi so lahko bolj »vitki« kar zadeva prostor na disku, še bolj pomembno pa je, da zahtevajo manj delovnega pomnilnika, saj se koda v njem ne ponavlja. In takšnih knjižnic je cel kup, saj omogočajo delovanje pravzaprav vseh naprav, ki so v računalniku, pa ne le naprav ampak tudi programov, ki uporabljajo oziroma si delijo enako kodo.
Sedaj si verjetno znate predstavljati, kaj pomeni, če nekdo »ugrabi« kak tak DLL oziroma najde način, kako ga nadomestiti z drugim, ki se izdaja za pravega, v resnici pa počne nečednosti. Verjetno ni ravno prijetno…
In v Skypu je ena takšna luknja. Dobra novica je, da tak DLL ni ravno preprosto vtihotapiti v sistem, slaba pa, da če napadalcu to enkrat uspe, lahko napad izvede zelo preprosto, In ker luknja omogoča pridobitev skrbniških pravic, je lahko škoda res velikanska. Poleg tega je zoprno tudi to, da luknja ni prisotna le v Skypu za Windows ampak tudi v različicah za MacOS in Linux,
S tem pa slabih novic še ni konec. Microsoft je namreč sporočil, da bi krpanje te luknje pri obstoječih različicah zahtevalo toliko sprememb v sistemu nadgradnje programa, da bi bilo vse skupaj »nepraktično«, zato bo težavo raje naslovil v novi različici programa, v kateri bo sistem nadgradnje napisal na novo.
In kdaj bo prišla nova različica. Tega pa še ne vemo. Microsoft za luknjo ve že od septembra lani, pa do sedaj še nimamo novega Skypa, tako da… Mogoče pa bi bilo počasi treba razmisliti o kakšni alternativi v slogu Viberja, WhatsAppa ali česa podobnega.