微软并没有急着去修复暴露用户的Skype漏洞

安全研究人员Stefan Kanthak表示，这个漏洞存在于Skype更新服务中，它可以在DLL劫持的帮助下被利用，这个漏洞会诱使用户使用恶意程序库而不是微软提供的真正程序。

正如ZDNet报道的，这意味着攻击者首先必须在目标计算机上放置令人讨厌的DLL文件，但研究人员表示，使用临时用户文件夹有很多方法。

一旦Skype启动并使用专用更新服务检查更新，如果加载了恶意程序库，网络犯罪分子就可以利用该漏洞并获得对计算机的访问权限，从而获得与登录用户相同的权限。毫无疑问，如果使用管理员帐户，这是非常危险的，但是攻击者无论如何都可以窃取存储在系统中的数据。

新的Skype客户端正在发展中

至于微软不急于开发修补程序的原因，研究人员表示，他于去年9月首次联系该公司，并被告知重现该问题确实有可能。

然而，当时这位软件巨头解释说，为这个漏洞推出一个修复程序需要做很多工作，指出更新者需要通过研究人员引用的“大代码修订版”来阻止漏洞利用。

另一方面，微软正在准备更新，只是它将在未来的某个时候发布新版本。这意味着即使用户已经很容易受到攻击，但解决该错误的独立安全修复程序不会很快发布。

研究人员表示，其他系统也可能容易受到攻击，包括Mac和Linux，尽管他承认，当涉及DLL劫持时，可以在Windows上以多种方式完成。