אם גרסת שולחן העבודה של סקייפ נמצאת במחשב Windows שלך, אתה חשוף לנצל ממש מגעיל. פגם בכלי העדכונים של סקייפ יכול להעניק לתוקפים שליטה מלאה במערכת שלכם, ומיקרוסופט אומרת שלא יהיה פיתרון בקרוב.
למרבה המזל, אתה יכול להימנע מהבעיה לחלוטין על ידי החלפת גרסת "שולחן העבודה" של סקייפ בגירסה הזמינה מחנות מיקרוסופט . ובכל זאת, מביך עבור התוכנה של מיקרוסופט עצמה שיש חולשה בבסיס זה, והניצול המדובר הוא כזה שרדמונד הזהירה מפתחים אחרים מפני פעמים רבות.
הנה מה שהניצול הזה עובד וכיצד תוכל לוודא שאתה משתמש בגרסת ה- Safe Store של Windows בחנות סקייפ.
מה לא בסדר עם סקייפ?
עדכון תוכנה אמור לשמור על אבטחתכם, אך באופן אירוני במקרה של סקייפ, עדכון הוא הבעיה. הסיבה לכך היא שהפגם כאן לא נמצא בסקייפ עצמו, אלא בכלי שסקייפ משתמש בו כדי למצוא ולהתקין עדכונים. כלי עדכון זה חשוף ל- DLL hjjacking, כמו החוקר סטפן קנתאק מתאר :
הפעלה זו חשופה לחטיפת DLL: היא טוענת לפחות את UXTheme.dll מספריית היישומים% SystemRoot% Temp במקום מספריית המערכת של Windows. משתמש (מקומי) חסר זכות שמסוגל למקם את UXTheme.dll או כל אחד מקבצי ה- DLL האחרים שנטענים על ידי ההפעלה הפגיעה ב-% SystemRoot% Temp זוכה בהסלמת הרשאות לחשבון SYSTEM.
בעיקרון, סקייפ פועל קבצי DLL מתיקיית Temp, שמשתמשים יכולים לגשת אליה ללא זכויות מנהל. זה הופך את זה לטריוויאלי עבור שחקנים גרועים לכבות את קבצי ה- DLL ולקבל שליטה ברמת המערכת על המחשב שלך. זה סוג הפגיעות מיקרוסופט מזהירה במיוחד את המפתחים להימנע , אך נראה כי צוות הסקייפ של מיקרוסופט החמיץ את התזכיר המסוים הזה.
וזה מחמיר. מיקרוסופט אמרה לקנתאק שהם "הצליחו לשחזר את הבעיה", אך לא תונפק תיקון שהונפק כדי לפתור את הבעיה. במקום זאת, מיקרוסופט מתכננת לפתור את הבעיה במהלך המהדורה הגדולה הבאה של סקייפ - לא ברור מתי זה יהיה.
זה ... לא אידיאלי. למרבה המזל, יש אלטרנטיבה.
הפתרון: השתמש בגרסת חנות Windows
מיקרוסופט מציעה שתי גרסאות של Skype עבור Windows: גרסת "שולחן העבודה", שקיימת כבר שנים, ואת גרסת הפלטפורמה האוניברסלית של Windows (UWP), שאותה תוכלו להוריד מאפליקציית Microsoft Store המצורפת ל- Windows. רק גרסת שולחן העבודה חשופה לניצול מסוים זה, מכיוון שרק גרסת שולחן העבודה משתמשת בכלי העדכון שלה.
מיקרוסופט דוחפת משתמשים לגירסת סקייפ של חנות מיקרוסופט מזה זמן מה: דף הורדת סקייפ מכוון משתמשים לחנות, למשל. אך למשתמשים רבים עדיין יש את גרסת שולחן העבודה במערכות שלהם, ועליהם להסיר את ההתקנה ולהשתמש רק בגרסת החנות אם הם רוצים להישאר בטוחים מהניצול הזה.
איך תוכלו לדעת איזו גרסה יש לכם? הדרך הפשוטה ביותר היא לחפש "סקייפ" בתפריט ההתחלה. אם אתה רואה את המילים "אפליקציית Microsoft Store מהימנה" מתחת לשם סקייפ, אתה כנראה מכוסה.
שתי האפליקציות גם נראות שונות לחלוטין. הנה הגרסה "שולחן העבודה":
אם הסקייפ שלך נראה ככה, אתה חשוף לניצול. אתה צריך להסיר את סקייפ ואז להוריד את גרסת Microsoft Store .
הנה גרסת Microsoft Store:
אם הסקייפ שלך נראה ככה, אתה בטוח: עדכונים לגרסה זו מטופלים באמצעות Microsoft Store, כך שהפגיעות אינה רלוונטית.
מצער שמיקרוסופט לא תתקן רק את הפגיעות הזו, אבל לפחות יש גרסת עבודה של סקייפ שננעלת. ובעוד הממשק והתכונות של גרסת Microsoft Store יהיו התאמה, דברים כמו שיחות וצ'אט עובדים בסדר גמור במבחנים שלנו, גם אם הממשק מציע פחות אפשרויות. והיי: אין מודעות מכוערות בגרסת החנות, אז זה יתרון.
