Microsoft傘下のSkypeには、Mac、Windows、Linuxのコンピューターを攻撃者に乗っ取られる可能性のある重大なセキュリティ欠陥があります。さらに悪いことに、Microsoftは少なくとも現時点ではこの欠陥を修正する予定がありません。これは、アプリのアップデートインストーラー全体を書き換える必要があるためです。

このセキュリティ上の欠陥はアプリのアップデートインストーラーに存在し、これを悪用されると、被害者が標準ユーザーとしてコンピュータにログインしている場合でも、攻撃者が管理者レベルのアクセス権を取得できる可能性があります。そこから、ファイルのコピーや削除、他のアプリのインストール、個人情報へのアクセスなどが可能になります。

マイクロソフトは2017年9月にこの脆弱性について警告を受け、自社のコンピューターで再現することに成功しました。Stefan Kanthak氏によるSeclistのメモより：

エンジニアからこの件に関する最新情報をいただきました。コードをレビューし、問題を再現できましたが、セキュリティアップデートではなく、製品の新しいバージョンで修正を実装することにしました。チームは新しいバージョンのクライアントのリリースを計画しており、現在のバージョンは徐々に廃止される予定です。

メモには、Windows固有のDLLインジェクション脆弱性がコードの書き換えの必要性として挙げられていますが、Microsoftはまだその準備が整っていないようです。つまり、Skypeの自動更新システムは、誰かが悪用しようとした場合、セキュリティリスクとなり、書き換えられたバージョンがリリースされ、ユーザーがインストールするまで、その状態が続くことになります。