Skype е уязвим за неприятна експлоатация Превключване към версията на магазина на Windows

Ако десктоп версията на Skype е на вашия компютър с Windows, вие сте уязвими към наистина лош опит. Един недостатък в инструмента за актуализиране на Skype може да даде на атакуващите пълен контрол над системата ви, а Microsoft казва, че няма да има поправка..

За щастие, можете да избегнете проблема напълно, като замените версията на „desktop“ на Skype с тази, налична в магазина на Microsoft. Все пак, притеснително е за собствения софтуер на Microsoft да има слабост, която е основна, а експлоатацията, за която става дума, е, че Редмънд е предупредил други разработчици за няколко пъти..

Ето какво работи този оператор и как можете да се уверите, че използвате сигурна версия на магазина на Windows.

Какво става с Skype?

Актуализирането на софтуера трябва да ви държи в безопасност, но по ирония на съдбата в случая с Skype актуализирането е проблем. Това е така, защото недостатъкът тук не е свързан със самия Skype, а по-скоро инструментът, който Skype използва за намиране и инсталиране на актуализации. Този инструмент за обновяване е уязвим към DLL hjjacking, както изтъква изследователят Стефан Кантак:

Този изпълним файл е уязвим за отвличане на DLL: зарежда поне UXTheme.dll от своята директория с приложения% SystemRoot% Temp вместо от системната директория на Windows. Непривилегирован (местен) потребител, който може да постави UXTheme.dll или някоя от другите DLL, заредени от уязвимата изпълнимия файл в% SystemRoot% Temp, да повиши привилегията на профила в SYSTEM.

По принцип, Skype стартира DLL от папката Temp, до която потребителите имат достъп без администраторски права. Това го прави тривиално за лошите участници да изключат DLL и да получат контрол на системно ниво над компютъра. Това е вид уязвимост, която Microsoft специално предупреждава разработчиците да избягват, но Skype екипът на Microsoft изглежда е пропуснал тази конкретна бележка.

И се влошава. Microsoft казаха на Кантак, че „са успели да възпроизведат проблема“, но няма да издаде кръпка, за да реши проблема. Вместо това Microsoft планира да реши проблема по време на следващото голямо издание на Skype - не е ясно кога ще бъде.

Това е… не е идеално. За щастие има алтернатива.

Решение: Използвайте версията на Windows Store

Microsoft предлага две версии на Skype за Windows: версията "Desktop", която съществува от векове, и версията за универсална Windows платформа (UWP), която можете да изтеглите от приложението Microsoft Store, включено в Windows. Само десктоп версията е уязвима за този конкретен експлойт, защото само десктоп версията използва свой собствен инструмент за обновяване.

От известно време Microsoft принуждава потребителите към версията на Skype на Microsoft Store: страницата за изтегляне на Skype насочва потребителите към магазина например. Но много потребители все още имат десктоп версията на системите си и трябва да ги деинсталират и да използват само версията на магазина, ако искат да се предпазят от този подвиг..

Как можете да кажете коя версия имате? Най-простият начин е да търсите „Skype“ в стартовото меню. Ако видите думите "Доверен Microsoft Store приложение" под името на Skype, вероятно сте покрити.

Двете приложения също изглеждат напълно различни. Ето "версията" на работния плот:

Ако вашият Skype изглежда така, вие сте уязвим за експлоатацията. Трябва да деинсталирате Skype, след това да изтеглите версията на Microsoft Store.

Ето версията на Microsoft Store:

Ако вашият Skype изглежда така, вие сте в безопасност: актуализациите за тази версия се обработват с Microsoft Store, така че уязвимостта не е подходяща.

Жалко е, че Microsoft не само ще подправи тази уязвимост, но поне има работеща версия на Skype, която е заключена. И докато интерфейсът и функциите на версията на Microsoft Store ще бъдат корекция, неща като обаждане и чат работят добре в нашите тестове, дори ако интерфейсът предлага по-малко опции. И хей: в версията на Store няма грозни реклами, така че това е плюс.