Skype je ohroženo přepnutím Nasty Exploit na verzi Windows Store

Pokud je verze počítače Skype ve vašem počítači se systémem Windows, jste ohroženi opravdu špatným zneužíváním. Vada v aktualizačním nástroji Skype by mohla útočníkům dát plnou kontrolu nad vaším systémem a společnost Microsoft říká, že v blízké budoucnosti nebude oprava.

Naštěstí se můžete tomuto problému úplně vyhnout tím, že nahradíte "desktopovou" verzi aplikace Skype, kterou máte k dispozici v obchodě Microsoft Store. Přesto je pro vlastní software společnosti Microsoft nepříjemné, že má základní slabost, a to, že se jedná o problém, je Redmond varoval další vývojáře vícekrát.

Zde je to, co toto zneužití funguje, a jak se můžete ujistit, že používáte bezpečnou verzi Windows Store ve službě Skype.

Co je špatné se službou Skype?

Aktualizace softwaru by vás měla chránit, ale ironicky v případě Skype, je aktualizace problémem. Je to proto, že chyba zde není v samotném systému Skype, ale nástroj, který Skype používá k vyhledání a instalaci aktualizací. Tento nástroj pro aktualizaci je zranitelný pro DLL hjjacking, jak výzkumník Stefan Kanthak nastíní:

Tento spustitelný soubor je ohrožen únosem DLL: načte přinejmenším UXTheme.dll ze svého aplikačního adresáře% SystemRoot% Temp namísto systémového adresáře systému Windows. Neoprávněný (místní) uživatel, který je schopen umístit soubor UXTheme.dll nebo libovolnou z dalších knihoven DLL načtených zranitelným spustitelným počítačem v% SystemRoot% Temp, zvýší rozšíření oprávnění na účet SYSTEM.

V zásadě Skype spouští DLL ze složky Temp, kterou uživatelé mohou přistupovat bez oprávnění administrátora. To znemožňuje špatným hercům vypnout knihovny DLL a získat kontrolu nad systémem na vašem počítači. Je to druh zranitelnosti, který společnost Microsoft výslovně varuje, aby se vývojáři vyhnuli, ale zdá se, že společnost Skype týmu Skype tuto konkrétní poznámku zmeškala.

A to se zhoršuje. Společnost Microsoft řekla společnosti Kanthak, že "tuto věc mohly reprodukovat", ale nebude vydána opravná zpráva, která by vyřešila problém. Místo toho společnost Microsoft plánuje vyřešit problém během dalšího velkého vydání Skype - není jasné, kdy to bude.

To není ... ideální. Naštěstí existuje alternativa.

Řešení: Použijte verzi systému Windows Store

Společnost Microsoft nabízí dvě verze programu Skype pro Windows: verzi "Desktop", která byla již dlouhá léta, a verze univerzální platformy Windows (UWP), kterou si můžete stáhnout z aplikace Microsoft Store dodávané se systémem Windows. Pouze verze pro stolní počítače jsou vůči tomuto konkrétnímu zneužití zranitelné, protože pouze verze pro stolní počítače používá vlastní aktualizační nástroj.

Společnost Microsoft na chvíli tlačila uživatele na verzi služby Microsoft Store ve službě Skype: stránku stahování Skype je například směrována uživatelům do obchodu. Ale mnoho uživatelů stále má na svých počítačích verzi pro stolní počítače a měli by je odinstalovat a používat pouze verzi Store, pokud chtějí zůstat v bezpečí před tímto zneužitím.

Jak můžete zjistit, kterou verzi máte? Nejjednodušším způsobem je vyhledávání ve "Skype" v nabídce Start. Pokud uvidíte slova "Aplikace důvěryhodného obchodu Microsoft" pod jménem Skype, pravděpodobně jste zahrnuty.

Dvě aplikace také vypadají zcela jinak. Zde je verze "desktop":

Pokud váš Skype vypadá takto, jste zranitelní vůči zneužití. Měli byste odinstalovat aplikaci Skype a stáhnout verzi služby Microsoft Store.

Zde je verze Microsoft Store:

Pokud váš Skype vypadá takto, jste v bezpečí: aktualizace pro tuto verzi jsou zpracovávány pomocí aplikace Microsoft Store, takže chyba zabezpečení není relevantní.

Je to nešťastné, že Microsoft nebude jen tuto náchylnost opravit, ale přinejmenším tam je pracovní verze Skype, který je uzamčen. A zatímco rozhraní a funkce verze Microsoft Store budou úpravy, věci jako volání a chatování fungují dobře v našich testech, i když rozhraní nabízí méně možností. A hej: ve verzi Store nejsou žádné ošklivé reklamy, takže je to plus.