Skype уязвим для неприятных атак: переключитесь на версию для Магазина Windows
Гайд в разделе Windows "Skype уязвим для неприятных атак: переключитесь на версию для Магазина Windows" содержит информацию, советы и подсказки, которые помогут изучить самые важные моменты и тонкости вопроса….
Если на вашем компьютере с Windows установлена настольная версия Skype, вы уязвимы для действительно опасного эксплойта. Недостаток в инструменте обновления Skype может дать злоумышленникам полный контроль над вашей системой, и Microsoft заявляет, что в ближайшее время исправления не будет.
К счастью, вы можете полностью избежать проблемы, заменив «рабочий стол» »Версия Skype с той, что доступна в Microsoft Store. Тем не менее, для собственного программного обеспечения Microsoft неловко иметь такую фундаментальную слабость, и рассматриваемый эксплойт – это тот эксплойт, о котором Редмонд предупреждал других разработчиков несколько раз.
Вот что работает этот эксплойт и как вы можете убедиться, что вы используете безопасную версию Skype для Магазина Windows.
Что не так со Skype?
Обновление программного обеспечения должно обеспечивать вашу безопасность, но по иронии судьбы в случае Skype проблема заключается в обновлении. Это потому, что проблема здесь не в самом Skype, а в инструменте, который Skype использует для поиска и установки обновлений. Этот инструмент обновления уязвим для взлома DLL, как отмечает исследователь Стефан Кантхак:
Этот исполняемый файл уязвим для перехвата DLL: он загружает по крайней мере UXTheme.dll из каталога приложения% SystemRoot% Temp, а не из системного каталога Windows. Непривилегированный (локальный) пользователь, который может разместить UXTheme.dll или любые другие библиотеки DLL, загруженные уязвимым исполняемым файлом в% SystemRoot% Temp, повышают привилегии до учетной записи SYSTEM.
Как правило, Skype запускает библиотеки DLL из папки Temp, к которой пользователи могут получить доступ без прав администратора. Это делает тривиальным для злоумышленников отключить библиотеки DLL и получить контроль над вашим компьютером на системном уровне.Microsoft специально предостерегает разработчиков от подобной уязвимости, но команда Microsoft Skype, похоже, пропустила именно эту записку.
И ситуация ухудшается. Microsoft сказала Kanthak, что они «смогли воспроизвести проблему», но не будет выпускать патч для решения проблемы. Вместо этого Microsoft планирует решить эту проблему в следующем крупном выпуске Skype – неясно, когда это произойдет.
Это… не идеально. К счастью, есть альтернатива.
Решение: используйте версию для Магазина Windows
Microsoft предлагает две версии Skype для Windows: версию для настольных ПК, которая существует уже много лет, и версию универсальной платформы Windows (UWP), которую вы можете загрузить из приложения Microsoft Store в комплекте с Windows. Только настольная версия уязвима для этого конкретного эксплойта, потому что только настольная версия использует собственный инструмент обновления.
Microsoft уже давно подталкивает пользователей к версии Skype для Microsoft Store: например, страница загрузки Skype направляет пользователей в Store. Но у многих пользователей все еще есть настольная версия в своих системах, и им следует удалить ее и использовать версию из Магазина только в том случае, если они хотят обезопасить себя от этого эксплойта.
Как узнать, какая у вас версия? Самый простой способ – найти «Skype» в меню «Пуск». Если вы видите слова «Надежное приложение Microsoft Store» под именем Skype, вы, вероятно, попали в зону ответственности.
Оба приложения также выглядят совершенно по-разному. Вот «настольная» версия:
Если ваш Skype выглядит так, вы уязвимы для эксплойта. Вам следует удалить Skype, а затем загрузить версию Microsoft Store.
Вот версия Microsoft Store:
Если ваш Skype выглядит так, вы в безопасности: обновления для этой версии обрабатываются с помощью Microsoft Store, поэтому уязвимость не имеет значения.
К сожалению, Microsoft не просто исправит эту уязвимость, но, по крайней мере, есть заблокированная рабочая версия Skype. И хотя интерфейс и функции версии Microsoft Store будут изменяться, такие вещи, как звонки и чат, в наших тестах работают отлично, даже если интерфейс предлагает меньше возможностей. И послушайте: в версии для Магазина нет уродливой рекламы, так что это плюс.