If-Koubou

Skype je ranjiv na neredovito iskorištavanje: prebacite se na Verziju sustava Windows Store

Skype je ranjiv na neredovito iskorištavanje: prebacite se na Verziju sustava Windows Store (Kako da)

Ako je radna verzija Skypea na vašem Windows računalu ranjiva na stvarno gadno iskorištavanje. Nedostatak u alatu ažuriranja Skypea mogao bi omogućiti napadačima potpunu kontrolu nad vašim sustavom, a Microsoft tvrdi da uskoro neće biti popravka.

Srećom, možete potpuno izbjeći problem zamjenom "desktop" verzije Skypea s onim dostupnim u Microsoft Storeu. Ipak, neugodno je da Microsoftov vlastiti softver ima slabost koja je temeljna, a dotično iskorištavanje je Redmond koji je više puta upozorio druge programere.

Evo što ovaj program iskorištavanja funkcionira i kako možete biti sigurni da upotrebljavate sigurnu verziju Skypea za Windows Store.

Što nije u redu s Skypeom?

Ažuriranje softvera bi vas trebalo osigurati, ali ironično u Skype slučaju, ažuriranje je problem. To je zato što pogreška ovdje nije sama s Skypeom, već je alat koji Skype koristi za pronalaženje i instaliranje ažuriranja. Ovaj alat za ažuriranje je ranjiv na DLL hjjacking, kako istraživač Stefan Kanthak iznosi:

Ova izvršna datoteka je ranjiva na otmicu DLL: ona učitava barem UXTheme.dll iz svog programa direktorij% SystemRoot% Temp umjesto Windows 'direktorij sustava. Neprivilegirani (lokalni) korisnik koji može staviti UXTheme.dll ili bilo koji drugi DLL učitani od strane ranjive izvršne datoteke u sustavu% SystemRoot% Temp dobiva eskalaciju privilegija na račun SYSTEM.

U osnovi, Skype pokreće DLL-ove iz mape Temp, koje korisnici mogu pristupiti bez administratorskih prava. To ga čini trivijalan za loše glumce za isključivanje DLL i dobiti kontrolu razine sustava nad vašim računalom. To je vrsta ranjivosti koju Microsoft posebno upozorava razvojne programere da izbjegavaju, ali Microsoftov tim za Skype čini se da je propustio taj poseban dopis.

I postaje sve gore. Microsoft je priopćio Kanthaku kako su "uspjeli reproducirati problem", ali neće biti izdana zakrpa izdana za rješavanje problema. Umjesto toga, Microsoft planira riješiti problem tijekom sljedećeg većeg izdanja Skypea - nije jasno kada će to biti.

To nije ... idealno. Srećom, postoji alternativa.

Rješenje: Koristite Verziju sustava Windows Store

Microsoft nudi dvije verzije programa Skype za Windows: verziju "Desktop" koja je već godinama i verziju Universal Uplata za Windows (UWP), koju možete preuzeti iz aplikacije Microsoft Store u paketu s Windowsom. Samo je inačica radne površine ranjiva na ovo posebno iskorištavanje, jer samo inačica stolnog računala koristi svoj vlastiti alat za ažuriranje.

Microsoft je guranje korisnika na Microsoft Store verziju Skype na neko vrijeme: Skype preuzimanje stranica usmjerava korisnike u trgovinu, na primjer. No, mnogi korisnici još uvijek imaju verziju za radnu površinu na svojim sustavima i trebali bi ga deinstalirati i koristiti samo verziju Store ako žele ostati sigurni od tog korištenja.

Kako možete znati koju verziju imate? Najjednostavniji način je traženje "Skype" na početnom izborniku. Ako vidite riječi "Pouzdana aplikacija tvrtke Microsoft Store" ispod naziva Skypea, vjerojatno ste pokriveni.

Dvije aplikacije također izgledaju potpuno drugačije. Evo verzije "stolnog računala":

Ako vaš Skype izgleda ovako, ranjivi ste na iskorištavanje. Trebali biste deinstalirati Skype, a zatim preuzeti verziju programa Microsoft Store.

Evo verzije sustava Microsoft Store:

Ako vaš Skype izgleda ovako, sigurni ste: ažuriranja za ovu verziju se rješavaju pomoću Microsoft Store, tako da ranjivost nije relevantna.

Nesretno je da Microsoft neće samo zakrpati ovu ranjivost, ali barem postoji radna verzija Skypea koja je zaključana. I dok će sučelje i značajke inačice Microsoft Store biti prilagodba, stvari kao što su pozivanje i chat funkcioniraju sasvim u našim testovima, čak i ako sučelje nudi manje mogućnosti. I hej: nema verbalnih oglasa na verziji Store, pa je to plus.