A Skype sérülékeny a Nasty Exploit Switchre a Windows Store verzióra
Ha a Skype asztali verziója a Windows számítógépen van, akkor egy nagyon csúnya kizsákmányolásnak van kitéve. A Skype frissítési eszközének hibája a támadók számára teljes körű ellenőrzést biztosíthat a rendszer felett, és a Microsoft azt mondja, hogy hamarosan nem lesz javítás.
Szerencsére teljesen elkerülheti a problémát a Skype „asztali” verziójának a Microsoft Store-ból elérhető változatával. Mégis, a Microsoft saját szoftverei számára kínos, hogy ez gyengesége legyen, és a szóban forgó kizsákmányolás egyike, amit Redmond több alkalommal figyelmeztette a fejlesztőkre.
Ez az, amit ez kihasznál, és hogyan tudod biztosítani a Skype biztonságos Windows Store verziójának használatát.
Mi a rossz a Skype használatával?
A szoftver frissítésének biztosítani kell a biztonságot, de ironikusan a Skype esetében, a frissítés a probléma. Ez azért van, mert a hiba itt nem maga a Skype, hanem a Skype a frissítések keresése és telepítése. Ez a frissítési eszköz sérülékeny a DLL hjjacking, mint kutató Stefan Kanthak körvonalazza:
Ez a végrehajtható fájl sérülékeny a DLL-eltérítések ellen: legalább UXTheme.dll-t tölt be az alkalmazáskönyvtárból a% SystemRoot% Temp helyett a Windows rendszerkönyvtárából. Egy nem privilegizált (helyi) felhasználó, aki képes behelyezni az UXTheme.dll-t vagy bármely más, a sérülékeny végrehajtható fájl által betöltött DLL-t a% SystemRoot% Temp rendszerben, növeli a jogosultságot a SYSTEM fiókhoz.
Alapvetően a Skype DLL-eket futtat a Temp mappából, amelyet a felhasználók rendszergazdai jogok nélkül férhetnek hozzá. Ez azt jelenti, hogy triviális a rossz szereplők számára, hogy kiváltsák a DLL-eket és szerezzenek rendszer szintű ellenőrzést a számítógépen. Ez az a fajta sebezhetőség, amelyet a Microsoft kifejezetten figyelmeztet a fejlesztőkre, de úgy tűnik, hogy a Microsoft Skype csapata kimaradt az adott feljegyzésből.
És még rosszabb lesz. A Microsoft elmondta Kanthaknak, hogy „képesek voltak reprodukálni a problémát”, de a probléma megoldására nem kerül sor kiadásra. Ehelyett a Microsoft tervezi a probléma megoldását a Skype következő nagy kiadása során - nem világos, hogy mikor lesz ez.
Ez… nem ideális. Szerencsére van egy alternatíva.
A megoldás: Használja a Windows Store verziót
A Microsoft a Skype for Windows két változatát kínálja: az „asztali” verziót, amely már évek óta működik, és az univerzális Windows platform (UWP) verzióját, amelyet letölthet a Windows-hoz mellékelt Microsoft Store alkalmazásból. Csak az asztali verzió sérülékeny ebből a kizsákmányolásból, mert csak az asztali verzió használja saját frissítési eszközt.
A Microsoft egy ideig rákényszeríti a felhasználókat a Skype Microsoft Store-verziójára: a Skype letöltési oldala például a Store-ra irányítja a felhasználókat. De sok felhasználónak még mindig van az asztali verziója a rendszerükön, és el kell távolítania azt, és csak a Store verziót használnia, ha biztonságban akarnak maradni ebből a kihasználásból.
Hogyan tudja megmondani, hogy melyik verziója van? A legegyszerűbb mód a „Skype” keresése a start menüben. Ha a "Megbízható Microsoft Store alkalmazás" szavakat látja a Skype neve alatt, akkor valószínűleg lefedi.
A két alkalmazás teljesen másnak tűnik. Itt van az „asztali” verzió:
Ha a Skype úgy néz ki, mintha ilyen lenne, érzékeny a kihasználásra. Távolítsa el a Skype programot, majd töltse le a Microsoft Store verziót.
Íme a Microsoft Store verziója:
Ha a Skype így néz ki, akkor biztonságban van: a verzió frissítéseit a Microsoft Store segítségével kezelik, így a biztonsági rés nem releváns.
Sajnálatos, hogy a Microsoft nem csak javítja ezt a biztonsági rést, de legalább van egy Skype működő verziója, amely le van zárva. És bár a Microsoft Store verziójának felülete és jellemzői kiigazításnak számítanak, a hívások és a csevegés csak tesztek során jól működik, még akkor is, ha az interfész kevesebb lehetőséget kínál. És hé: nincsenek csúnya hirdetések a Store verzióban, így ez egy plusz.
