Skype je zraniteľný na prepínač Nasty Exploit na verziu Windows Store
Ak je verzia programu Skype na počítači vo vašom počítači so systémom Windows, ste zraniteľní voči naozaj škaredému zneužitiu. Nedostatok v aktualizačnom nástroji Skype by mohol útočníkom poskytnúť plnú kontrolu nad vašim systémom a spoločnosť Microsoft tvrdí, že čoskoro nebude oprava.
Našťastie sa môžete tomuto problému úplne vyhnúť tým, že nahradíte verziu "desktop" verzie Skype s tou, ktorá je k dispozícii v obchode Microsoft Store. Napriek tomu je pre vlastný softvér spoločnosti Microsoft nepríjemné, že má túto základnú slabosť a zneužitie je v rozpore s tým, že Redmond varoval ďalších vývojárov o niekoľkých krát.
Tu je to, čo toto zneužitie funguje, a ako sa môžete ubezpečiť, že používate bezpečnú verziu programu Skype pre systém Windows Store.
Čo je nesprávne v programe Skype?
Aktualizácia softvéru by vás mala zabezpečiť, ale ironicky v prípade Skype je problém s aktualizáciou. Je to preto, že chyba tu nie je so samotným Skype, ale skôr nástroj, ktorý Skype používa na vyhľadanie a inštaláciu aktualizácií. Tento nástroj na aktualizáciu je zraniteľný s DLL hjjackingom, ako to naznačuje výskumník Stefan Kanthak:
Tento spustiteľný súbor je zraniteľný voči únosu DLL: načítava aspoň UXTheme.dll zo svojho aplikačného adresára% SystemRoot% Temp namiesto systémového adresára systému Windows. Neprivilený (miestny) používateľ, ktorý je schopný umiestniť UXTheme.dll alebo akékoľvek iné DLL načítané zraniteľným spustiteľným súborom v systéme% SystemRoot% Temp, získava zvýšenie oprávnenia na účet SYSTEM.
V zásade Skype spúšťa súbory DLL zo zložky Temp, ktorú môžu používatelia získať bez práv administrátora. To robí triviálne pre zlých hercov vypnutie DLL a získať systémovú úroveň kontroly nad počítačom. Je to druh zraniteľnosti, ktorý spoločnosť Microsoft konkrétne varuje vývojárov, aby sa im vyhnúť, ale zdá sa, že tím spoločnosti Skype spoločnosti Skype vynechal túto konkrétnu poznámku.
A to sa zhoršuje. Spoločnosť Microsoft povedala Kanthakovi, že "dokázali reprodukovať problém", ale nevydalo sa vydanie opravy, ktorá by vyriešila problém. Namiesto toho spoločnosť Microsoft plánuje vyriešiť problém počas ďalšieho veľkého vydania Skype - nie je jasné, kedy to bude.
To nie je ideálne. Našťastie existuje alternatíva.
Riešenie: Používajte verziu systému Windows Store
Spoločnosť Microsoft ponúka dve verzie programu Skype pre systém Windows: verziu "Desktop", ktorá je už vekovú, a verziu platformy Universal Windows (UWP), ktorú si môžete prevziať z aplikácie Microsoft Store, ktorá je súčasťou systému Windows. Len verzia pre počítač je zraniteľná voči tomuto konkrétnemu zneužitiu, pretože iba verzia pre stolné počítače používa vlastný nástroj na aktualizáciu.
Spoločnosť Microsoft na chvíľu tlačila používateľov na verziu programu Microsoft Store pre Skype: stránka na prevzatie Skype smeruje používateľov napríklad do obchodu. Mnohí používatelia však stále majú na svojom systéme desktopovú verziu a mali by ju odinštalovať a používať verziu Store iba vtedy, ak chcú zostať v bezpečí pred týmto zneužitím.
Ako môžete zistiť, ktorú verziu máte? Najjednoduchšou cestou je vyhľadávanie "Skype" v ponuke Štart. Ak uvidíte slová "Aplikácia dôveryhodnej aplikácie Microsoft Store" pod menom Skype, pravdepodobne ste sa vzťahujú.
Tieto dve aplikácie vyzerajú úplne inak. Tu je verzia "desktop":
Ak váš Skype vyzerá takto, ste zraniteľní voči zneužitiu. Mali by ste odinštalovať Skype, potom stiahnite verziu Microsoft Store.
Tu je verzia Microsoft Store:
Ak váš Skype vyzerá takto, ste v bezpečí: aktualizácie pre túto verziu sú spracované pomocou Microsoft Store, takže zraniteľnosť nie je relevantná.
Je to nešťastné, že Microsoft nebude len náplasť tejto zraniteľnosti, ale aspoň tam je pracovná verzia Skype, ktorý je uzamknutý. A zatiaľ čo rozhranie a funkcie verzie Microsoft Store budú úpravou, veci ako volanie a chat fungujú v našich testoch v poriadku, aj keď rozhranie ponúka menej možností. A hej: na verzii Store nie sú žiadne ošklivé reklamy, takže je to plus.