Microsoft спешит на помощь – проверит на наличие Spectre и перепишет уязвимый код Skype

Компания Microsoft добавила в свой бесплатный инструмент для корпоративных клиентов Windows Analytics функцию проверки на наличие уязвимостей Spectre и Meltdown.

Чтобы выявить указанные «дыры», обновленный Windows Analytics проводит трехуровневую диагностику компьютера. Сначала инструмент проверяет совместимость антивируса ПК с критическими обновлениями  Windows, затем – установлены ли они, после чего определяет статус прошивки процессора. Об этом сообщает издание Neowin.

Модифицированный инструмент уже доступен для Windows 7 SP1, Windows 8.1 и Windows 10. Для установки бесплатного инструмента пользователю необходимо зарегистрироваться в облачном сервисе Azure и привязать к своему аккаунту банковскую карту.

О том, что уязвимостям Meltdown и Spectre подвержены все современные устройства на базе чипов Intel и ряда других производителей, стало известно в начале 2018 года. Эти бреши позволяют злоумышленникам получить полный контроль над устройствами пользователей. Поскольку уязвимость присутствует на аппаратном уровне, для ее устранения требуется не только обновить ОС, но и прошивку устройства. Однако первые попытки Intel закрыть «дыры» не увенчались успехом.

У самой корпорации Microsoft также обнаружились серьезные проблемы с уязвимостями в системе безопасности продуктов. Так, компании потребуется переписать значительную часть кода Skype, чтобы лишить злоумышленников возможности получить через этот сервис права администратора на компьютерах пользователей. Об этом сообщает издание Engadget.

Об уязвимости сообщил исследователь безопасности Стефан Кантак еще в сентябре 2017 года. Он заметил, что один из компонентов для обновления Skype можно обмануть, чтобы модифицировать системную библиотеку. Брешь позволяет хакеру загрузить вредоносный код и поместить его во временную папку пользователя, подменяя ей существующую библиотеку. Библиотека также может быть изменена. Для полной власти над компьютером жертвы, злоумышленник должен получить доступ к файловой системе пользователя.

В Microsoft признали, что исправление этой проблемы потребует «большой перестройки кода» Skype, однако сроки устранения уязвимости в компании не озвучили.