Skype je ranljiv za Neumno izkoriščanje Preklopite na različico Windows Store
Če je namizna različica Skypea na vašem računalniku z operacijskim sistemom Windows, ste občutljivi na resnično grozno izkoriščanje. Napaka v Skypeovem orodju za posodabljanje lahko napadalcem zagotovi popoln nadzor nad vašim sistemom, Microsoft pa pravi, da ne bo prišlo do popravka..
Na srečo se lahko problem popolnoma izognete tako, da »namizno« različico Skype zamenjate s tisto, ki je na voljo v Microsoftovi trgovini. Kljub temu je neprijetno za Microsoftovo lastno programsko opremo, da ima to osnovno šibkost, in izkoriščanje, na katerega se nanaša, je Redmond opozoril druge razvijalce na večkrat.
V nadaljevanju je opisano, kako deluje ta način uporabe in kako lahko zagotovite, da uporabljate varno različico storitve Windows Store.
Kaj je narobe s storitvijo Skype?
Posodabljanje programske opreme naj bi vas obvarovalo varno, toda ironično v primeru Skypea, je posodobitev problem. To je zato, ker pomanjkljivost tukaj ni v samem programu Skype, ampak v orodju, ki ga Skype uporablja za iskanje in namestitev posodobitev. To orodje za posodabljanje je ranljivo za DLL hjjacking, kot pojasnjuje raziskovalec Stefan Kanthak:
Ta izvršljiva datoteka je ranljiva za ugrabitev DLL: naloži vsaj UXTheme.dll iz imenika aplikacij% SystemRoot% Temp namesto iz sistemskega imenika sistema Windows. Neprivilegirani (lokalni) uporabnik, ki lahko postavi UXTheme.dll ali katero koli drugo DLL, ki jo naloži ranljiva izvršljiva datoteka v% SystemRoot% Temp, poveča privilegij računa SYSTEM.
V bistvu Skype izvaja DLL-je iz mape Temp, do katere lahko uporabniki dostopajo brez skrbniških pravic. Zaradi tega je slabo za slabe igralce, da izklopijo DLL-je in pridobijo nadzor nad sistemom na vašem računalniku. To je vrsta ranljivosti, ki jo Microsoft posebej opozarja razvijalcem, da se izognejo, vendar se zdi, da je Microsoftova ekipa Skype spregledala to posebno beležko.
In postane še slabše. Microsoft je Kanthaku povedal, da so »uspeli reproducirati to vprašanje«, vendar za izdajo popravka ne bo prišlo do izdaje popravka. Namesto tega Microsoft načrtuje reševanje problema med naslednjo večjo izdajo Skypea - ni jasno, kdaj bo to.
To ni idealno. K sreči obstaja alternativa.
Rešitev: Uporabite različico Windows Store
Microsoft ponuja dve različici programa Skype za Windows: različico »namizja«, ki je že od nekdaj prisotna, in različico univerzalne platforme Windows (UWP), ki jo lahko prenesete iz aplikacije Microsoft Store, priložene operacijskemu sistemu Windows. Samo ta namizna različica je ranljiva za ta določen izkoristek, saj samo namizna različica uporablja svoje orodje za posodabljanje.
Microsoft že nekaj časa potiska uporabnike na različico Skypea v storitvi Microsoft Store: stran za prenos Skypea usmerja uporabnike v trgovino, na primer. Toda mnogi uporabniki še vedno imajo namizno različico v svojih sistemih, zato bi morali odstraniti to različico in uporabljati samo različico Store, če želijo ostati varni pred tem izkoriščanjem..
Kako lahko poveste, katero različico imate? Najenostavnejši način je iskanje po "Skype" v začetnem meniju. Če vidite ime »Trusted Microsoft Store app« pod Skypeovim imenom, ste verjetno pokriti.
Obe aplikaciji sta tudi popolnoma drugačni. Tu je »namizna« različica:
Če vaš Skype izgleda takole, ste ranljivi za izkoriščanje. Odstranite Skype, nato prenesite različico Microsoftove trgovine.
Tu je različica Microsoftove trgovine:
Če vaš Skype izgleda takole, ste varni: posodobitve za to različico se obdelujejo s storitvijo Microsoft Store, zato ranljivost ni pomembna.
To je žalostno, da Microsoft ne bo samo popraviti to ranljivost, ampak vsaj delovno različico Skype, ki je zaklenjena. Medtem ko bo vmesnik in značilnosti različice Microsoft Store prilagoditev, stvari, kot so klicanje in klepet, v naših testih dobro delujejo, tudi če vmesnik ponuja manj možnosti. In hej: v različici Store ni grdih oglasov, zato je to plus.