Hvis desktopversionen af Skype findes på din Windows-computer, er du sårbar over for en virkelig grim udnyttelse. En fejl i Skypes opdateringsværktøj kan give angribere fuld kontrol over dit system, og Microsoft siger, at der ikke snart vil være en løsning.
Heldigvis kan du undgå problemet fuldstændigt ved at erstatte "desktop" -versionen af Skype med den tilgængelige fra Microsoft Store . Alligevel er det pinligt for Microsofts egen software at have en svaghed ved dette grundlæggende, og den pågældende udnyttelse er en, som Redmond har advaret andre udviklere om flere gange.
Her er hvad denne udnyttelse fungerer, og hvordan du kan sikre dig, at du bruger den sikre Windows Store-version af Skype.
Hvad er der galt med Skype?
Opdatering af software skal beskytte dig, men i Skypes tilfælde er opdatering problemet. Det skyldes, at fejlen her ikke er med Skype selv, men snarere værktøjet, som Skype bruger til at finde og installere opdateringer. Dette opdateringsværktøj er sårbart over for DLL hjjacking, som forsker Stefan Kanthak skitserer :
Denne eksekverbare er sårbar over for DLL-kapring: den indlæser mindst UXTheme.dll fra dens applikationsmappe% SystemRoot% Temp i stedet for Windows 'systemkatalog. En uprivilegeret (lokal) bruger, der er i stand til at placere UXTheme.dll eller nogen af de andre DLL'er, der er indlæst af den sårbare eksekverbare i% SystemRoot% Temp, får optrapning af privilegium til SYSTEM-kontoen.
Dybest set kører Skype DLL'er fra Temp-mappen, som brugerne kan få adgang til uden administratorrettigheder. Dette gør det trivielt for dårlige skuespillere at skifte DLL'er ud og få kontrol på systemniveauet over din computer. Det er den slags sårbarhed Microsoft advarer specifikt udviklere om at undgå , men Microsofts Skype-team ser ud til at have savnet det pågældende memo.
Og det bliver værre. Microsoft fortalte Kanthak, at de "var i stand til at reproducere problemet", men der udstedes ikke en patch udstedt for at løse problemet. I stedet planlægger Microsoft at løse problemet under den næste store udgivelse af Skype - det er ikke klart, hvornår det bliver.
Det er ... ikke ideelt. Heldigvis er der et alternativ.
Løsningen: Brug Windows Store-versionen
Microsoft tilbyder to versioner af Skype til Windows: "Desktop" -versionen, der har eksisteret i årevis, og Universal Windows Platform (UWP) -versionen, som du kan downloade fra Microsoft Store-appen med Windows. Kun desktopversionen er sårbar over for denne særlige udnyttelse, fordi kun desktopversionen bruger sit eget opdateringsværktøj.
Microsoft har skubbet brugere til Microsoft Store-versionen af Skype i et stykke tid: Skype download-side dirigerer f.eks. brugere til butikken. Men mange brugere har stadig desktopversionen på deres systemer, og de bør afinstallere det og kun bruge Store-versionen, hvis de vil være sikre mod denne udnyttelse.
Hvordan kan du fortælle hvilken version du har? Den enkleste måde er at søge efter “Skype” i startmenuen. Hvis du ser ordene "Trusted Microsoft Store app" under Skypes navn, er du sandsynligvis dækket.
De to apps ser også helt anderledes ud. Her er "desktop" -versionen:
Hvis din Skype ser sådan ud, er du sårbar over for udnyttelsen. Du skal afinstallere Skype download Microsoft Store-versionen .
Her er Microsoft Store-versionen:
Hvis din Skype ser sådan ud, er du sikker: opdateringer til denne version håndteres ved hjælp af Microsoft Store, så sårbarheden er ikke relevant.
Det er uheldigt, at Microsoft ikke bare laver denne sårbarhed, men i det mindste er der en fungerende version af Skype, der er låst. Og mens grænsefladen og funktionerne i Microsoft Store-versionen vil være en justering, fungerer ting som opkald og chat helt fint i vores tests, selvom grænsefladen giver færre muligheder. Og hej: der er ingen grimme annoncer i Store-versionen, så det er et plus.
