Pokud je ve vašem počítači se systémem Windows verze aplikace Skype, jste náchylní k opravdu ošklivému zneužití. Chyba v aktualizačním nástroji Skype by mohla dát útočníkům plnou kontrolu nad vaším systémem a Microsoft tvrdí, že v blízké době nebude oprava.
Naštěstí se problému můžete úplně vyhnout tím, že nahradíte „stolní“ verzi Skypu dostupnou verzí z obchodu Microsoft Store . Přesto je pro vlastní software společnosti Microsoft nepříjemné mít tuto základní slabost a jedná se o zneužití, o kterém Redmond několikrát varoval ostatní vývojáře.
Toto zneužití funguje tady a jak se můžete ujistit, že používáte bezpečnou verzi Skype pro Windows Store.
Co se děje se Skype?
Aktualizace softwaru má zajistit vaši bezpečnost, ale paradoxně v případě Skype je problémem aktualizace. Je to proto, že zde není chyba samotného Skype, ale spíše nástroje, který Skype používá k hledání a instalaci aktualizací. Tento aktualizační nástroj je zranitelný vůči DLL hjjacking, as výzkumník Stefan Kanthak nastiňuje :
Tento spustitelný soubor je zranitelný vůči únosu DLL: načte alespoň UXTheme.dll z adresáře aplikace% SystemRoot% Temp místo ze systémového adresáře Windows. Neprivilegovaný (místní) uživatel, který je schopen umístit soubor UXTheme.dll nebo jakoukoli jinou knihovnu DLL načtenou zranitelným spustitelným souborem v souboru% SystemRoot% Temp, získá eskalaci oprávnění k účtu SYSTEM.
V zásadě běží Skype DLL ze složky Temp, do které mají uživatelé přístup bez oprávnění správce. Díky tomu je pro špatné herce triviální přepínat knihovny DLL a získat nad počítačem kontrolu nad úrovní systému. Je to druh zranitelnosti Společnost Microsoft výslovně varuje vývojáře, aby se vyhýbali , ale zdá se, že Skype týmu Microsoftu tato konkrétní poznámka chyběla.
A zhoršuje se to. Microsoft řekl Kanthakovi, že „byli schopni problém reprodukovat“, ale nebude vydána oprava vydaná k vyřešení problému. Místo toho plánuje společnost Microsoft problém vyřešit během příštího významného vydání aplikace Skype - není jasné, kdy k tomu dojde.
To není ... není ideální. Naštěstí existuje alternativa.
Řešení: Použijte verzi Windows Store
Společnost Microsoft nabízí dvě verze aplikace Skype pro Windows: verzi „Desktop“, která existuje už věky, a verzi Universal Windows Platform (UWP), kterou si můžete stáhnout z aplikace Microsoft Store dodávané s Windows. Pouze stolní verze je zranitelná tímto konkrétním zneužitím, protože pouze stolní verze používá svůj vlastní aktualizační nástroj.
Microsoft už nějakou dobu tlačí uživatele na verzi Skype pro Microsoft Store: Stránka pro stahování Skype nasměruje uživatele například do obchodu. Ale mnoho uživatelů má ve svých systémech stále verzi pro stolní počítače a měli by ji odinstalovat a verzi Store používat pouze v případě, že si chtějí zachovat bezpečí před tímto zneužitím.
Jak můžete zjistit, kterou verzi máte? Nejjednodušším způsobem je vyhledat „Skype“ v nabídce Start. Pokud se pod názvem Skype zobrazí slova „Důvěryhodná aplikace Microsoft Store“, jste pravděpodobně krytí.
Tyto dvě aplikace také vypadají úplně jinak. Tady je verze pro stolní počítače:
Pokud váš Skype vypadá takto, jste náchylní k zneužití. Poté byste měli odinstalovat Skype stáhněte si verzi Microsoft Store .
Tady je verze Microsoft Store:
Pokud váš Skype vypadá takto, jste v bezpečí: aktualizace pro tuto verzi jsou zpracovávány pomocí Microsoft Store, takže chyba zabezpečení není relevantní.
Je politováníhodné, že Microsoft tuto chybu zabezpečení pouze neopraví, ale existuje alespoň funkční verze Skypu, která je uzamčena. A zatímco rozhraní a funkce verze Microsoft Store budou úpravou, věci jako volání a chat v našich testech fungují dobře, i když rozhraní nabízí méně možností. A hej: ve verzi Store nejsou žádné ošklivé reklamy, takže je to plus.
