Jeśli wersja Skype na komputer jest na twoim komputerze z systemem Windows, jesteś podatny na naprawdę paskudny exploit. Luka w narzędziu aktualizacyjnym Skype może dać atakującym pełną kontrolę nad systemem, a Microsoft twierdzi, że w najbliższym czasie nie będzie żadnej poprawki.
Na szczęście można całkowicie uniknąć problemu, zastępując wersję Skype na komputery stacjonarne, dostępną w sklepie Microsoft. Wciąż jednak żenujące jest to, że własne oprogramowanie Microsoftu ma tę słabość, a exploit, o którym mowa, jest taki, że Redmond wielokrotnie ostrzegał innych programistów.
Oto, jak działa ten exploit i jak upewnić się, że używasz bezpiecznej wersji Skype'a dla Windows Store.
Aktualizacja oprogramowania ma zapewnić bezpieczeństwo, ale ironicznie w przypadku Skype'a problemem jest aktualizacja. Dzieje się tak dlatego, że wadą nie jest sam Skype, ale raczej narzędzie używane przez Skype do znajdowania i instalowania aktualizacji. To narzędzie do aktualizacji jest podatne na hjjackowanie DLL, jak wyjaśnia badacz Stefan Kanthak:
Ten plik wykonywalny jest podatny na przechwytywanie DLL: ładuje co najmniej UXTheme.dll z katalogu aplikacji% SystemRoot% Temp zamiast z katalogu systemowego Windows. Nieuprzywilejowany (lokalny) użytkownik, który jest w stanie umieścić UXTheme.dll lub dowolną inną bibliotekę DLL załadowaną przez podatny plik wykonywalny w% SystemRoot% Temp, uzyskuje eskalację uprawnień do konta SYSTEM.
Zasadniczo Skype uruchamia biblioteki DLL z folderu Temp, do których użytkownicy mają dostęp bez uprawnień administratora. To czyni trywialne dla złych aktorów, aby wyłączyli biblioteki DLL i uzyskali kontrolę nad systemem na swoim komputerze. Jest to rodzaj luki, o której Microsoft szczególnie ostrzega programistów, aby uniknąć, ale zespół Skype Microsoftu najwyraźniej przegapił tę szczególną notatkę.
I robi się coraz gorzej. Microsoft powiedział Kanthakowi, że "byli w stanie odtworzyć problem", ale nie będzie wydawania łaty wydanej w celu rozwiązania problemu. Zamiast tego Microsoft planuje rozwiązać problem podczas kolejnej głównej wersji programu Skype - nie jest jasne, kiedy to nastąpi.
To ... nie jest idealne. Na szczęście istnieje alternatywa.
Firma Microsoft oferuje dwie wersje programu Skype dla systemu Windows: wersję "Desktop", która istnieje już od wieków, oraz wersję Universal Windows Platform (UWP), którą można pobrać z aplikacji Microsoft Store w pakiecie z systemem Windows. Tylko wersja komputerowa jest podatna na ten konkretny exploit, ponieważ tylko wersja komputerowa używa własnego narzędzia do aktualizacji.
Firma Microsoft od pewnego czasu przesyła użytkowników do wersji Skype firmy Microsoft Store: strona pobierania Skype kieruje użytkowników do sklepu, na przykład. Jednak wielu użytkowników wciąż posiada wersję na komputery w swoich systemach i powinni ją odinstalować i używać tylko wersji Store, jeśli chcą zachować bezpieczeństwo przed tym exploitem.
Jak możesz sprawdzić, którą wersję masz? Najprostszym sposobem jest wyszukanie "Skype" w menu startowym. Jeśli zobaczysz słowa "Zaufana aplikacja Microsoft Store" poniżej nazwy Skype, prawdopodobnie jesteś objęty ubezpieczeniem.
Te dwie aplikacje wyglądają zupełnie inaczej. Oto wersja "desktopowa":
Jeśli twój Skype wygląda tak, jesteś podatny na exploit. Odinstaluj Skype, a następnie pobierz wersję Microsoft Store.
Oto wersja Microsoft Store:
Jeśli twój Skype wygląda tak, jesteś bezpieczny: aktualizacje dla tej wersji są obsługiwane w Microsoft Store, więc luka w zabezpieczeniach nie jest istotna.
To niefortunne, że Microsoft nie tylko naprawi tę lukę, ale przynajmniej jest działająca wersja Skype, która jest zablokowana. Podczas gdy interfejs i funkcje wersji Microsoft Store będą dostosowywane, takie rzeczy jak wywoływanie i czat sprawdzają się w naszych testach, nawet jeśli interfejs oferuje mniej opcji. I hej: w wersji Store nie ma brzydkich reklam, więc to plus.