У принадлежащего Microsoft Skype есть большой недостаток в безопасности, который может позволить злоумышленнику получить контроль над компьютерами Mac, Windows и Linux. Хуже всего то, что Microsoft не планирует исправлять его, по крайней мере на данный момент, потому что это сводится к переписыванию всего установщика обновлений.

Недостаток безопасности находится в инсталляторе обновлений и если он используется, это может позволить злоумышленникам получить доступ уровня администратора, даже если жертва зарегистрирована на своем компьютере в качестве стандартного пользователя. Оттуда они могут копировать и удалять файлы, устанавливать другие приложения, получать доступ к личной информации и т.д.

Microsoft была предупреждена об ошибке в сентябре 2017 года и смогла воспроизвести ее на своих компьютерах. Из заметок Секстера Стефана Кантхака:

Инженеры предоставили мне обновление по этому делу. Они просмотрели код и смогли воспроизвести проблему, но решили, что исправление будет реализовано в более новой версии продукта, а не в обновлении безопасности. Команда планирует отправить более новую версию клиента, а эта текущая версия будет медленно устаревать.

В примечаниях упоминается уязвимость, вызванная Windows DLL, как необходимость перезаписи кода, которая, по-видимому, Microsoft еще не готова сделать. Это означает, что система автоматического обновления в Skype является угрозой безопасности, если кто-то решит, что они хотят ее использовать. Она останется такой, пока не будет выпущена переписанная версия, и пользователи ее установят.