Skype je ranljiv zaradi gadnega izkoriščanja: preklopite na različico programa Windows

Kazalo:

Video: Skype je ranljiv zaradi gadnega izkoriščanja: preklopite na različico programa Windows

Video: Skype je ranljiv zaradi gadnega izkoriščanja: preklopite na različico programa Windows
Video: Je čas za Facebook in Instagram oglaševanje 2024, Marec
Skype je ranljiv zaradi gadnega izkoriščanja: preklopite na različico programa Windows
Skype je ranljiv zaradi gadnega izkoriščanja: preklopite na različico programa Windows
Anonim
Če je namizna različica Skype na vašem računalniku z operacijskim sistemom Windows, ste ranljivi za resnično grdo izkoriščanje. Napaka v orodju za posodobitev programa Skype bi lahko napadalcem omogočil popoln nadzor nad vašim sistemom, Microsoft pa pravi, da ne bo kmalu odpravljen.
Če je namizna različica Skype na vašem računalniku z operacijskim sistemom Windows, ste ranljivi za resnično grdo izkoriščanje. Napaka v orodju za posodobitev programa Skype bi lahko napadalcem omogočil popoln nadzor nad vašim sistemom, Microsoft pa pravi, da ne bo kmalu odpravljen.

Na srečo se lahko popolnoma izognete težavam, tako da zamenjate "namizno" različico Skypeja s tistim, ki je na voljo v Microsoftovi trgovini. Še vedno je neprijetno za lastno programsko opremo Microsofta, da ima to osnovno šibkost in zadevni izkoristek je eden, ki ga je Redmond že večkrat opozoril na druge razvijalce.

Tukaj je, kaj to izkorišča in kako lahko poskrbite, da uporabljate varno različico Skypea za Windows.

Kaj je narobe s Skypeom?

Posodobitev programske opreme naj bi ostala varna, vendar ironično v primeru Skypea je težava posodobitev. To je zato, ker pomanjkanje tukaj ni s samim Skypeom, temveč orodje Skype uporablja za iskanje in namestitev posodobitev. To orodje za posodobitev je ranljivo za hjjacking DLL, saj raziskovalec Stefan Kanthak opiše:

This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.

V bistvu Skype zažene DLL iz mape Temp, ki jih uporabniki lahko dostopajo brez skrbniških pravic. Zaradi tega je slabim igralcem, da preklopijo na DLL in pridobijo nadzor nad nivojem sistema na vašem računalniku. To je vrsta ranljivosti, ki Microsoft posebej opozarja razvijalce, da se jim izognejo, vendar se zdi, da je Skypeova ekipa Microsofta zamudila to posebno opombo.

In še slabše. Microsoft je Kanthaku povedal, da je "sposoben reproducirati težavo", vendar ne bo izdal popravka, ki bi ga rešili. Namesto tega Microsoft načrtuje reševanje problema med naslednjo večjo izdajo Skype-ni jasno, kdaj bo to.

To ni idealno. K sreči obstaja alternativa.

Rešitev: uporabite različico za trgovino v sistemu Windows

Microsoft ponuja dve različici Skypea za Windows: različico "namizja", ki je bila že več kot stoletja, in različico platforme Universal Windows (UWP), ki jo lahko prenesete iz aplikacije Microsoft Store, združene z operacijskim sistemom Windows. Le ta namizna različica je občutljiva za ta poseben izkoristek, saj samo različica namizja uporablja lastno orodje za posodobitev.

Microsoft že nekaj časa potisne uporabnike v Skypeovo različico Skypea: stran za prenos Skype usmerja uporabnike v trgovino, na primer. Toda mnogi uporabniki še vedno imajo namizno različico na svojih sistemih, zato morajo to odstraniti in uporabiti samo različico Trgovine, če želijo ostati varni pred tem izkoriščanjem.

Kako lahko poveste katero različico imate? Najenostavnejši način je, da poiščete »Skype« v začetnem meniju. Če pod besedo Skype vidite besede »Zaupanja vredno aplikacijo Microsoft Store«, ste verjetno pokriti.

Obe aplikaciji izgledata povsem drugače. Tukaj je "namizna" različica:
Obe aplikaciji izgledata povsem drugače. Tukaj je "namizna" različica:
Če vaš Skype izgleda tako, ste ranljivi za izkoriščanje. Odstraniti morate Skype, nato pa prenesti različico Microsoft Store.
Če vaš Skype izgleda tako, ste ranljivi za izkoriščanje. Odstraniti morate Skype, nato pa prenesti različico Microsoft Store.

Tukaj je različica Microsoft Store:

Če vaš Skype izgleda tako, ste varni: posodobitve za to različico se obdelujejo z uporabo Microsoftove trgovine, zato ranljivost ni ustrezna.
Če vaš Skype izgleda tako, ste varni: posodobitve za to različico se obdelujejo z uporabo Microsoftove trgovine, zato ranljivost ni ustrezna.

Žalostno je, da Microsoft ne bo le popravil te ranljivosti, ampak vsaj obstaja delovna različica Skypea, ki je zaklenjena. Medtem ko je vmesnik in značilnosti različice Microsoft Store prilagoditev, stvari, kot so klicanje in klepet, delujejo v naših testih, čeprav vmesnik ponuja manj možnosti. In hej: v verzi Store ni nobenih grdih oglasov, zato je to plus.

Priporočena: