Ако версията за настолни компютри на Skype е на компютъра ви с Windows, вие сте уязвими към наистина неприятно злоупотреба. Грешка в инструмента за актуализиране на Skype може да даде нападателите пълен контрол над вашата система, а Microsoft казва, че скоро няма да има решение.
За щастие, можете да избегнете проблема напълно, като замените "десктоп" версията на Skype с тази от Microsoft Store. Все пак е неудобно за собствения софтуер на Microsoft да има слабост на това фундаментално решение и въпросният експлойтинг е един Redmond предупредил други разработчици за няколко пъти.
Ето как работи този експлойт и как можете да сте сигурни, че използвате сигурната версия на Windows Store на Skype.
Актуализиращият софтуер трябва да ви предпази, но по ирония на съдбата на Skype, актуализирането е проблемът. Това е така, защото недостатък тук не е със самия Skype, а по-скоро инструмент, който Skype използва, за да намира и инсталира актуализации. Този инструмент за актуализиране е уязвим за DLL hjjacking, както изследователят Стефан Kanthak очертава:
Този изпълним файл е уязвим за отвличането на DLL: той зарежда поне UXTheme.dll от директорията му за приложения% SystemRoot% Temp вместо от системната директория на Windows. Непривилегирован (локален) потребител, който може да постави UXTheme.dll или някой от другите DLL, заредени от уязвимия изпълним файл в% SystemRoot% Temp, увеличава привилегията на системния акаунт.
По принцип Skype изпълнява DLL от папката Temp, която потребителите могат да получат без права на администратор. Това прави незначително за лошите актьори да изключват DLL-а и да получат контрол на системното ниво върху компютъра ви. Това е вид уязвимост, която Microsoft специално предупреждава разработчиците да избягват, но екипът на Skype на Майкрософт изглежда е пропуснал тази конкретна бележка.
И се влошава. Microsoft съобщи на Канхак, че "са успели да възпроизведат проблема", но няма да издаде кръпка за разрешаване на проблема. Вместо това Microsoft планира да реши проблема по време на следващото голямо издаване на Skype - не е ясно кога ще бъде това.
Това ... не е идеално. За щастие има алтернатива.
Microsoft предлага две версии на Skype за Windows: версията "Desktop", която е била в продължение на много години и версията на Universal Platform (UWP), която можете да изтеглите от приложението Microsoft Store, придружено от Windows. Само версията за настолни компютри е уязвима за това конкретно използване, защото само версията за настолни компютри използва свой собствен инструмент за актуализиране.
Microsoft натиска потребителите известно време към Skype версията на Skype: страницата за изтегляне на Skype насочва потребителите към магазина, например. Но много потребители все още имат десктоп версия на своите системи и те трябва да деинсталират това и да използват версията на Store само ако искат да останат в безопасност от това exploit.
Как можете да разберете коя версия имате? Най-лесният начин е да търсите "Skype" в стартовото меню. Ако виждате думите "Надеждно приложение на Microsoft Store" под името на Skype, вероятно сте покрити.
Двете приложения също изглеждат съвсем различни. Ето версията "десктоп":
Ако вашият Skype изглежда така, вие сте уязвими към експлойта. Трябва да деинсталирате Skype, след което да изтеглите версията на Microsoft Store.
Ето версията на Microsoft Store:
Ако вашият Skype изглежда така, вие сте в безопасност: актуализациите за тази версия се обработват чрез Microsoft Store, така че уязвимостта не е уместна.
Това е жалко, че Microsoft не само ще закърпи тази уязвимост, но поне има работеща версия на Skype, която е заключена. И докато интерфейсът и характеристиките на версията на Microsoft Store ще бъдат корекция, нещата като обаждане и чат работят добре в нашите тестове, дори ако интерфейсът предлага по-малко възможности. И хей: не съществуват грозни реклами във версията на магазина, така че това е плюс.
