Ha a Skype asztali verziója a Windows számítógépén van, akkor kiszolgáltatott egy nagyon csúnya kihasználásnak. A Skype frissítőeszközének hibája a támadóknak teljes ellenőrzést adhat a rendszer felett, és a Microsoft szerint hamarosan nem lesz javítás.
Szerencsére teljesen elkerülheti a problémát, ha a Skype „asztali” verzióját lecseréli az elérhetőre a Microsoft Store-ból . Ennek ellenére kínos, hogy a Microsoft saját szoftvereinek gyengesége van ez az alapvető, és a szóban forgó kihasználás az, hogy Redmond többször figyelmeztette más fejlesztőket.
Íme, ez a kihasználás hogyan működik, és hogyan győződhet meg arról, hogy a Skype biztonságos Windows Store verzióját használja.
Mi a baj a Skype-val?
A szoftver frissítésével állítólag biztonságban lehet, de ironikus módon a Skype esetében a frissítés jelent problémát. Ennek oka, hogy a hiba itt nem magában a Skype-ban van, hanem sokkal inkább a Skype által a frissítések megkeresésére és telepítésére használt eszköz. Ez a frissítő eszköz sérülékeny a DLL hjjacking, as Stefan Kanthak kutató felvázolja :
Ez a futtatható fájl sebezhető a DLL-eltérítéssel szemben: legalább a UXTheme.dll fájlt a% SystemRoot% Temp alkalmazáskönyvtárából tölti be a Windows rendszerkönyvtárából. Kiváltság nélküli (helyi) felhasználó, aki képes elhelyezni az UXTheme.dll fájlt vagy a sérülékeny futtatható fájl által a% SystemRoot% Temp által betöltött bármely más DLL-t.
Alapvetően a Skype fut DLL-ek a Temp mappából, amelyhez a felhasználók rendszergazdai jogok nélkül férhetnek hozzá. Ez elenyészővé teszi, hogy a rossz szereplők kikapcsolják a DLL-eket, és rendszerszintű irányítást szereznek a számítógép felett. Ez egyfajta sebezhetőség A Microsoft kifejezetten figyelmezteti a fejlesztőket a kerülésre , de úgy tűnik, hogy a Microsoft Skype csapata elmulasztotta az adott feljegyzést.
És még rosszabb lesz. A Microsoft azt mondta Kanthaknak, hogy "képesek voltak reprodukálni a problémát", de nem adnak ki a probléma megoldására kiadott javítást. Ehelyett a Microsoft azt tervezi, hogy megoldja a problémát a Skype következő nagyobb kiadása során - nem világos, hogy ez mikor lesz.
Ez ... nem ideális. Szerencsére van egy alternatíva.
A megoldás: Használja a Windows Store verziót
A Microsoft a Skype for Windows két verzióját kínálja: az „Asztali” verziót, amely már évek óta létezik, és az Univerzális Windows Platform (UWP) verziót, amelyet letölthet a Windows rendszerhez mellékelt Microsoft Store alkalmazásból. Csak az asztali verzió van kiszolgáltatva ennek a bizonyos kihasználásnak, mert csak az asztali verzió használja a saját frissítő eszközét.
A Microsoft egy ideje a Skype Microsoft Store verziójára tolja a felhasználókat: a Skype letöltési oldal például a boltba irányítja a felhasználókat. De sok felhasználónak még mindig van asztali verziója a rendszerén, és ezt el kell távolítania, és csak akkor kell használni a Store verziót, ha biztonságban akarnak maradni ettől a kihasználástól.
Hogyan tudja megmondani, melyik verziója van? A legegyszerűbb módszer a Start menüben a „Skype” kifejezésre keresni. Ha a Skype neve alatt a „Megbízható Microsoft Store alkalmazás” szöveget látja, akkor valószínűleg Önre vonatkozik.
A két alkalmazás is teljesen másképp néz ki. Íme az „asztali” verzió:
Ha Skype-ja így néz ki, akkor kiszolgáltatott a kihasználásnak. Akkor távolítsa el a Skype-ot töltse le a Microsoft Store verziót .
Itt van a Microsoft Store verzió:
Ha Skype-ja így néz ki, biztonságban van: ennek a verziónak a frissítéseit a Microsoft Store segítségével kezeljük, így a biztonsági rés nem releváns.
Sajnálatos, hogy a Microsoft nem csak javítja ezt a biztonsági rést, de legalább van a Skype működő verziója, amely le van zárva. És bár a Microsoft Store verzió kezelőfelülete és funkciói kiigazítások lesznek, tesztelésünk során a telefonálás és a csevegés tökéletesen működik, még akkor is, ha a felület kevesebb lehetőséget kínál. És hé: a Store verzióban nincsenek csúnya hirdetések, ez plusz.
