Hvis desktopversjonen av Skype er på Windows-datamaskinen din, er du sårbar for en veldig stygg utnyttelse. En feil i Skypes oppdateringsverktøy kan gi angripere full kontroll over systemet ditt, og Microsoft sier at det ikke kommer til å være en løsning når som helst.
Heldigvis kan du unngå problemet helt ved å erstatte "desktop" -versjonen av Skype med den tilgjengelige fra Microsoft Store . Det er likevel pinlig for Microsofts egen programvare å ha en svakhet ved dette grunnleggende, og den aktuelle utnyttelsen er en Redmond har advart andre utviklere om flere ganger.
Her er hva denne utnyttelsen fungerer, og hvordan du kan sørge for at du bruker den sikre Windows Store-versjonen av Skype.
Hva er galt med Skype?
Oppdatering av programvare skal beskytte deg, men i Skypes tilfelle er oppdatering problemet. Det er fordi feilen her ikke er med Skype selv, men heller verktøyet Skype bruker for å finne og installere oppdateringer. Dette oppdateringsverktøyet er sårbart for DLL hjjacking, som forsker Stefan Kanthak skisserer :
Denne kjørbare filen er sårbar for DLL-kapring: den laster minst UXTheme.dll fra programkatalogen% SystemRoot% Temp i stedet fra Windows systemkatalog. En uprivilegert (lokal) bruker som er i stand til å plassere UXTheme.dll eller noen av de andre DLL-ene som er lastet av den sårbare kjørbare filen i% SystemRoot% Temp, får en opptrapping av privilegiet til SYSTEM-kontoen.
I utgangspunktet kjører Skype DLLer fra Temp-mappen, som brukere kan få tilgang uten administratorrettigheter. Dette gjør det trivielt for dårlige skuespillere å bytte ut DLLer og få systemnivåkontroll over datamaskinen din. Det er den typen sårbarhet Microsoft advarer spesielt utviklere om å unngå det , men Microsofts Skype-team ser ut til å ha savnet akkurat det notatet.
Og det blir verre. Microsoft fortalte Kanthak at de "klarte å reprodusere problemet," men det vil ikke bli utstedt en oppdatering for å løse problemet. I stedet planlegger Microsoft å løse problemet under neste store utgivelse av Skype - det er ikke klart når det blir.
Det er ... ikke ideelt. Heldigvis er det et alternativ.
Løsningen: Bruk versjonen av Windows Store
Microsoft tilbyr to versjoner av Skype for Windows: "Desktop" -versjonen, som har eksistert i mange aldre, og Universal Windows Platform (UWP) -versjonen, som du kan laste ned fra Microsoft Store-appen som følger med Windows. Bare desktopversjonen er sårbar for denne spesielle utnyttelsen, fordi bare desktopversjonen bruker sitt eget oppdateringsverktøy.
Microsoft har presset brukere til Microsoft Store-versjonen av Skype en stund: Skype-nedlastingsside leder for eksempel brukere til butikken. Men mange brukere har fortsatt skrivebordsversjonen på systemene sine, og de bør avinstallere den og bare bruke Store-versjonen hvis de vil være sikre mot denne utnyttelsen.
Hvordan kan du fortelle hvilken versjon du har? Den enkleste måten er å søke etter “Skype” i startmenyen. Hvis du ser ordene “Trusted Microsoft Store app” under Skypes navn, er du sannsynligvis dekket.
De to appene ser også helt forskjellige ut. Her er "desktop" -versjonen:
Hvis Skype ser slik ut, er du sårbar for utnyttelsen. Du bør avinstallere Skype last ned Microsoft Store-versjonen .
Her er Microsoft Store-versjonen:
Hvis Skype ser slik ut, er du trygg: oppdateringer for denne versjonen håndteres ved hjelp av Microsoft Store, så sårbarheten er ikke relevant.
Det er uheldig at Microsoft ikke bare oppdaterer dette sikkerhetsproblemet, men i det minste er det en fungerende versjon av Skype som er låst. Og mens grensesnittet og funksjonene i Microsoft Store-versjonen vil være en justering, fungerer ting som å ringe og chatte fint i testene våre, selv om grensesnittet tilbyr færre alternativer. Og hei: det er ingen stygge annonser i butikkversjonen, så det er et pluss.
