Srećom, možete potpuno izbjeći problem zamjenom "desktop" verzije Skypea s onim dostupnim u Microsoft Storeu. Ipak, neugodno je da Microsoftov vlastiti softver ima slabost koja je temeljna, a dotično iskorištavanje je Redmond koji je više puta upozorio druge programere.
Evo što ovaj program iskorištavanja funkcionira i kako možete biti sigurni da upotrebljavate sigurnu verziju Skypea za Windows Store.
Što nije u redu s Skypeom?
Ažuriranje softvera bi vas trebalo osigurati, ali ironično u Skype slučaju, ažuriranje je problem. To je zato što pogreška ovdje nije sama s Skypeom, već je alat koji Skype koristi za pronalaženje i instaliranje ažuriranja. Ovaj alat za ažuriranje je ranjiv na DLL hjjacking, kako istraživač Stefan Kanthak iznosi:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
U osnovi, Skype pokreće DLL-ove iz mape Temp, koje korisnici mogu pristupiti bez administratorskih prava. To ga čini trivijalan za loše glumce za isključivanje DLL i dobiti kontrolu razine sustava nad vašim računalom. To je vrsta ranjivosti koju Microsoft posebno upozorava razvojne programere da izbjegavaju, ali Microsoftov tim za Skype čini se da je propustio taj poseban dopis.
I postaje sve gore. Microsoft je priopćio Kanthaku kako su "uspjeli reproducirati problem", ali neće biti izdana zakrpa izdana za rješavanje problema. Umjesto toga, Microsoft planira riješiti problem tijekom sljedećeg većeg izdanja Skypea - nije jasno kada će to biti.
To nije … idealno. Srećom, postoji alternativa.
Rješenje: Koristite Verziju sustava Windows Store
Microsoft nudi dvije verzije programa Skype za Windows: verziju "Desktop" koja je već godinama i verziju Universal Uplata za Windows (UWP), koju možete preuzeti iz aplikacije Microsoft Store u paketu s Windowsom. Samo je inačica radne površine ranjiva na ovo posebno iskorištavanje, jer samo inačica stolnog računala koristi svoj vlastiti alat za ažuriranje.
Microsoft je guranje korisnika na Microsoft Store verziju Skype na neko vrijeme: Skype preuzimanje stranica usmjerava korisnike u trgovinu, na primjer. No, mnogi korisnici još uvijek imaju verziju za radnu površinu na svojim sustavima i trebali bi ga deinstalirati i koristiti samo verziju Store ako žele ostati sigurni od tog korištenja.
Kako možete znati koju verziju imate? Najjednostavniji način je traženje "Skype" na početnom izborniku. Ako vidite riječi "Pouzdana aplikacija tvrtke Microsoft Store" ispod naziva Skypea, vjerojatno ste pokriveni.
Evo verzije sustava Microsoft Store:
Nesretno je da Microsoft neće samo zakrpati ovu ranjivost, ali barem postoji radna verzija Skypea koja je zaključana. I dok će sučelje i značajke inačice Microsoft Store biti prilagodba, stvari kao što su pozivanje i chat funkcioniraju sasvim u našim testovima, čak i ako sučelje nudi manje mogućnosti. I hej: nema verbalnih oglasa na verziji Store, pa je to plus.
