Om skrivbordsversionen av Skype finns på din Windows-dator är du utsatt för en riktigt otäck exploatering. En brist i Skypes uppdateringsverktyg kan ge angripare full kontroll över ditt system, och Microsoft säger att det inte kommer att bli en lösning snart.
Lyckligtvis kan du undvika problemet helt genom att ersätta Skype-versionen av Skype med den tillgängliga från Microsoft Store . Ändå är det pinsamt för Microsofts egen programvara att ha en svaghet av detta grundläggande, och utnyttjandet i fråga är en som Redmond har varnat andra utvecklare om flera gånger.
Här är vad denna exploatering fungerar och hur du kan se till att du använder den säkra Windows Store-versionen av Skype.
Vad är fel med Skype?
Uppdatering av programvara är tänkt att hålla dig säker, men ironiskt nog i Skypes fall är uppdatering problemet. Det beror på att felet här inte är med Skype själv utan snarare verktyget Skype använder för att hitta och installera uppdateringar. Detta uppdateringsverktyg är sårbart för DLL hjjacking, som forskare Stefan Kanthak beskriver :
Den här körningen är sårbar för DLL-kapning: den laddar åtminstone UXTheme.dll från sin applikationskatalog% SystemRoot% Temp istället från Windows systemkatalog. En privilegierad (lokal) användare som kan placera UXTheme.dll eller någon av de andra DLL-filer som laddas av den sårbara körbara filen i% SystemRoot% Temp får en ökad privilegium till SYSTEM-kontot.
I grund och botten kör Skype DLL-filer från Temp-mappen, som användare kan komma åt utan administratörsrättigheter. Detta gör det trivialt för dåliga aktörer att byta ut DLL-filer och få systemnivåkontroll över din dator. Det är den typ av sårbarhet Microsoft varnar specifikt utvecklare för att undvika , men Microsofts Skype-team verkar ha missat just det här memot.
Och det blir värre. Microsoft berättade för Kanthak att de "kunde återskapa problemet", men det kommer inte att utfärdas en korrigeringsfil för att lösa problemet. Istället planerar Microsoft att lösa problemet under nästa större version av Skype - det är inte klart när det kommer att bli.
Det är ... inte perfekt. Tack och lov finns det ett alternativ.
Lösningen: Använd Windows Store-versionen
Microsoft erbjuder två versioner av Skype för Windows: "Desktop" -versionen, som funnits i åldrar, och UWP-versionen (Universal Windows Platform), som du kan ladda ner från Microsoft Store-appen med Windows. Endast skrivbordsversionen är sårbar för detta speciella utnyttjande, eftersom endast skrivbordsversionen använder sitt eget uppdateringsverktyg.
Microsoft har drivit användare till Microsoft Store-versionen av Skype ett tag: Skypes nedladdningssida dirigerar användare till butiken, till exempel. Men många användare har fortfarande skrivbordsversionen på sina system, och de bör avinstallera det och bara använda Store-versionen om de vill vara säkra från detta utnyttjande.
Hur kan du berätta vilken version du har? Det enklaste sättet är att söka efter “Skype” i startmenyn. Om du ser orden ”Trusted Microsoft Store-app” under Skypes namn är du förmodligen täckt.
De två apparna ser också helt annorlunda ut. Här är "skrivbordsversionen":
Om din Skype ser ut så här är du sårbar för exploateringen. Du bör avinstallera Skype ladda ner Microsoft Store-versionen .
Här är Microsoft Store-versionen:
Om din Skype ser ut så här är du säker: uppdateringar för den här versionen hanteras med Microsoft Store, så sårbarheten är inte relevant.
Det är olyckligt att Microsoft inte bara lappar denna sårbarhet, men det finns åtminstone en fungerande version av Skype som är låst. Och medan gränssnittet och funktionerna i Microsoft Store-versionen kommer att vara en justering, fungerar saker som att ringa och chatta bra i våra tester, även om gränssnittet erbjuder färre alternativ. Och hej: det finns inga fula annonser i Store-versionen, så det är ett plus.
