यदि Skype का डेस्कटॉप संस्करण आपके Windows कंप्यूटर पर है, तो आप वास्तव में बहुत बुरा शोषण करते हैं। स्काइप के अपडेट टूल की एक खामी हमलावरों को आपके सिस्टम पर पूरा नियंत्रण दे सकती है, और माइक्रोसॉफ्ट का कहना है कि जल्द ही कोई फिक्स नहीं होगा।
खुशी से, आप Skype के "डेस्कटॉप" संस्करण को एक उपलब्ध के साथ बदलकर समस्या से पूरी तरह से बच सकते हैं Microsoft स्टोर से । फिर भी, Microsoft के स्वयं के सॉफ़्टवेयर के लिए इस मूलभूत कमजोरी का होना शर्मनाक है, और प्रश्न में शोषण एक है Redmond ने अन्य डेवलपर्स को कई बार चेतावनी दी है।
यहाँ यह क्या काम करता है, और आप स्काइप के सुरक्षित विंडोज स्टोर संस्करण का उपयोग करके कैसे सुनिश्चित कर सकते हैं।
स्काइप के साथ क्या गलत है?
सॉफ़्टवेयर को अपडेट करना आपको सुरक्षित रखने वाला है, लेकिन विडंबना यह है कि स्काइप के मामले में, अद्यतन करना समस्या है। ऐसा इसलिए है क्योंकि यहाँ दोष Skype के साथ ही नहीं है, बल्कि उपकरण Skype अद्यतन को खोजने और स्थापित करने के लिए उपयोग करता है। यह अद्यतन उपकरण DLL hjjacking के लिए असुरक्षित है, जैसा कि शोधकर्ता स्टीफन कांतक की रूपरेखा :
यह निष्पादन योग्य DLL अपहर्ता के लिए असुरक्षित है: यह Windows के सिस्टम निर्देशिका से अपने ऐप्लिकेशन निर्देशिका% SystemRoot% Temp से कम से कम UXTheme.dll लोड करता है। एक unprivileged (स्थानीय) उपयोगकर्ता जो UXTheme.dll या किसी अन्य DLL को% SystemRoot% में लाभकारी निष्पादन योग्य द्वारा लोड किए गए किसी भी स्थान पर रखने में सक्षम है, जो सिस्टम खाते में विशेषाधिकार प्राप्त करने का अस्थायी लाभ बढ़ाता है।
असल में, स्काइप चलता है DLLs Temp फ़ोल्डर से, जो उपयोगकर्ता बिना व्यवस्थापक अधिकारों के उपयोग कर सकते हैं। यह खराब अभिनेताओं के लिए DLL को बंद करने और आपके कंप्यूटर पर सिस्टम स्तर नियंत्रण हासिल करने के लिए तुच्छ बनाता है। यह एक तरह की भेद्यता है Microsoft विशेष रूप से डेवलपर्स को बचने के लिए चेतावनी देता है , लेकिन लगता है कि Microsoft की स्काइप टीम ने उस विशेष ज्ञापन को याद किया है।
और खराब हो जाता है। माइक्रोसॉफ्ट ने कंठक को बताया कि वे "इस मुद्दे को फिर से पेश करने में सक्षम थे," लेकिन समस्या को हल करने के लिए जारी किए गए पैच जारी नहीं किए गए थे। इसके बजाय, Microsoft स्काइप की अगली प्रमुख रिलीज़ के दौरान समस्या को हल करने की योजना बना रहा है - यह स्पष्ट नहीं है कि यह कब होगा।
यह आदर्श नहीं है। शुक्र है, एक विकल्प है।
समाधान: विंडोज स्टोर संस्करण का उपयोग करें
Microsoft Windows के लिए Skype के दो संस्करण प्रदान करता है: "डेस्कटॉप" संस्करण, जो उम्र के लिए लगभग रहा है, और यूनिवर्सल विंडोज प्लेटफ़ॉर्म (UWP) संस्करण है, जिसे आप विंडोज के साथ बंडल किए गए Microsoft स्टोर ऐप से डाउनलोड कर सकते हैं। केवल डेस्कटॉप संस्करण ही इस विशेष कारनामे के प्रति संवेदनशील है, क्योंकि केवल डेस्कटॉप संस्करण ही अपने अपडेट टूल का उपयोग करता है।
Microsoft कुछ समय के लिए उपयोगकर्ताओं को Skype के Microsoft स्टोर संस्करण पर धकेल रहा है: a Skype डाउनलोड पृष्ठ उदाहरण के लिए, स्टोर में उपयोगकर्ताओं को निर्देशित करता है। लेकिन कई उपयोगकर्ताओं के पास अभी भी अपने सिस्टम पर डेस्कटॉप संस्करण है, और उन्हें इसकी स्थापना रद्द करनी चाहिए और केवल स्टोर संस्करण का उपयोग करना चाहिए यदि वे इस शोषण से सुरक्षित रहना चाहते हैं।
आप कैसे बता सकते हैं कि आपके पास कौन सा संस्करण है? सबसे सरल तरीका स्टार्ट मेनू में "स्काइप" की खोज करना है। यदि आप Skype के नाम के नीचे "विश्वसनीय Microsoft Store एप्लिकेशन" शब्द देखते हैं, तो आप संभवतः कवर कर सकते हैं।
दोनों ऐप भी पूरी तरह से अलग दिखते हैं। यहाँ "डेस्कटॉप" संस्करण है:
यदि आपका Skype ऐसा दिखता है, तो आप शोषण के प्रति संवेदनशील हैं। आपको स्काइप को अनइंस्टॉल करना चाहिए Microsoft Store संस्करण डाउनलोड करें .
यहाँ Microsoft स्टोर संस्करण है:
यदि आपका Skype इस तरह दिखता है, तो आप सुरक्षित हैं: Microsoft स्टोर का उपयोग करके इस संस्करण के लिए अपडेट को संभाला जाता है, इसलिए भेद्यता प्रासंगिक नहीं है।
यह दुर्भाग्यपूर्ण है कि Microsoft ने केवल इस भेद्यता को पैच नहीं किया है, लेकिन कम से कम Skype का एक कार्यशील संस्करण है जो लॉक हो गया है। और जबकि माइक्रोसॉफ्ट स्टोर संस्करण का इंटरफ़ेस और विशेषताएं एक समायोजन होगा, कॉलिंग और चैट जैसी चीजें हमारे परीक्षणों में ठीक काम करती हैं, भले ही इंटरफ़ेस कम विकल्प प्रदान करता हो। और हे: स्टोर संस्करण पर कोई बदसूरत विज्ञापन नहीं है, इसलिए यह एक प्लस है।
