Головна » як » Skype вразливий до неприємного переходу до версії магазину Windows

    Skype вразливий до неприємного переходу до версії магазину Windows

    Якщо настільна версія Skype знаходиться на вашому комп'ютері під керуванням Windows, ви вразливі до дійсно неприємного використання. Недоліком у засобі оновлення Skype може бути повний контроль над вашою системою, і Microsoft стверджує, що не буде виправлення..

    На щастя, ви можете уникнути проблеми повністю, замінивши «настільну» версію Skype на доступну з магазину Microsoft. Тим не менш, це незручно для власного програмного забезпечення Microsoft, щоб мати слабкість цього фундаментального, і експлуатат, про який йде мова, Redmond попереджав інших розробників про кілька раз.

    Ось як працює ця функція, і як ви можете переконатися, що ви використовуєте безпечну версію магазину Windows.

    Що не так з Skype?

    Оновлення програмного забезпечення повинно тримати вас у безпеці, але, за іронією долі, у випадку з Skype, оновлення є проблемою. Це тому, що недолік тут не в самому Skype, а в засобі, який Skype використовує для пошуку та встановлення оновлень. Цей інструмент оновлення є вразливим для DLL hjjacking, як дослідник Штефан Кантак:

    Цей виконуваний файл уразливий до викрадення DLL: він завантажує принаймні UXTheme.dll зі свого каталогу додатків% SystemRoot% Temp замість системного каталогу Windows. Непривілейований (локальний) користувач, який може розмістити UXTheme.dll або будь-яку з інших DLL, завантажених уразливим виконуваним файлом у% SystemRoot% Temp, збільшуючи привілей на обліковий запис SYSTEM.

    В основному, Skype запускає бібліотеки DLL з теки Temp, до якої користувачі можуть отримати доступ без прав адміністратора. Це робить тривіальним для поганих учасників вимикати DLL-файли і отримувати системний контроль над комп'ютером. Це особлива уразливість, яку Microsoft спеціально попереджає розробникам, але команда Skype Skype, схоже, пропустила конкретну записку.

    І все гірше. Корпорація Майкрософт сказала Кантаку, що вони «змогли відтворити проблему», але для вирішення проблеми не буде випущено виправлення. Натомість Microsoft планує вирішити цю проблему під час чергового основного випуску Skype - не зрозуміло, коли це буде.

    Це… Не ідеал. На щастя, є альтернатива.

    Рішення: Використовуйте версію магазину Windows

    Корпорація Майкрософт пропонує дві версії Skype для Windows: версію «Робочий стіл», яка існувала вже давно, і версію універсальної платформи Windows (UWP), яку можна завантажити з програми Microsoft Store, що входить до складу Windows. Тільки версія для настільних комп'ютерів є вразливою для даного конкретного використання, оскільки тільки настільна версія використовує власний інструмент оновлення.

    Корпорація Майкрософт на деякий час підштовхувала користувачів до версії Skype для Microsoft Store: наприклад, сторінка завантаження Skype направляє користувачів до магазину. Але багато користувачів все ще мають свої настільні версії, і вони повинні видалити їх і використовувати лише версію магазину, якщо вони хочуть бути в безпеці від цього використання.

    Як ви можете визначити, яку версію ви маєте? Найпростішим способом є пошук «Skype» у меню «Пуск». Якщо ви бачите слова "Довірена програма Microsoft Store" нижче імені Skype, ви, ймовірно, охоплені.

    Ці дві програми також виглядають зовсім іншими. Ось версія для робочого столу:

    Якщо ваш Skype виглядає так, ви вразливі до експлуатата. Ви повинні видалити Skype, а потім завантажити версію Microsoft Store.

    Ось версія Microsoft Store:

    Якщо ваш Skype виглядає так, ви в безпеці: оновлення для цієї версії обробляються за допомогою Microsoft Store, тому уразливість не є доречною.

    На жаль, Microsoft не зможе просто виправити цю уразливість, але, принаймні, існує робоча версія Skype, яка заблокована. І хоча інтерфейс і особливості версії Microsoft Store будуть коригування, такі речі, як дзвінок і чат працюють просто добре в наших тестах, навіть якщо інтерфейс пропонує менше можливостей. Та hey: немає ніяких потворних оголошень на версії Store, так що це плюс.