2024 Författare: Peter John Melton | [email protected]. Senast ändrad: 2023-12-16 04:46
Lyckligtvis kan du undvika problemet helt genom att ersätta "desktop" -versionen av Skype med den som finns tillgänglig från Microsoft Store. Ändå är det pinsamt för Microsofts egen programvara att få en svaghet denna grundläggande, och exploateringen ifråga är en Redmond har varnat för andra utvecklare om flera gånger.
Här är vad detta utnyttjar fungerar, och hur du kan se till att du använder den säkra Windows Store-versionen av Skype.
Vad är fel med Skype?
Uppdatering av programvara ska hålla dig säker, men ironiskt nog i Skypes fall är uppdateringen problemet. Det beror på att felet här inte är med Skype själv, men verktyget Skype använder sig för att hitta och installera uppdateringar. Det här uppdateringsverktyget är sårbart för DLL hjjacking, som forskaren Stefan Kanthak skisserar:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
I princip kör Skype DLL-filer från Temp-mappen, vilka användare kan komma åt utan administratörsrättigheter. Detta gör det trivialt för dåliga skådespelare att byta ut DLL och få systemnivåkontroll över din dator. Det är den typ av sårbarhet som Microsoft varnar specifikt för utvecklare för att undvika, men Microsofts Skype-team verkar ha missat det speciella notatet.
Och det blir sämre. Microsoft berättade Kanthak att de "kunde reproducera problemet", men det kommer inte att utfärdas en patch utfärdad för att lösa problemet. Istället planerar Microsoft att lösa problemet under nästa stora release av Skype-det är inte klart när det kommer att bli.
Det är … inte idealiskt. Tack och lov finns det ett alternativ.
Lösningen: Använd Windows Store-versionen
Microsoft erbjuder två versioner av Skype for Windows: "Desktop" -versionen, som har funnits i flera åldrar, och UWP-versionen Universal Windows (UWP), som du kan ladda ner från Microsoft Store-appen som medföljer Windows. Endast den stationära versionen är sårbar för det här utnyttjandet, för bara den stationära versionen använder sitt eget uppdateringsverktyg.
Microsoft har drivit användare till Microsoft Store-versionen av Skype ett tag: Skype-nedladdningssidan leder användarna till Butik, till exempel. Men många användare har fortfarande skrivbordsversionen på sina system, och de bör avinstallera det och bara använda Store-versionen om de vill vara säkra på detta utnyttjande.
Hur kan du berätta vilken version du har? Det enklaste sättet är att söka efter "Skype" i startmenyn. Om du ser orden "Trusted Microsoft Store app" under Skypes namn är du noga täckt.
Här är Microsoft Store-versionen:
Det är olyckligt att Microsoft inte bara klarar av denna sårbarhet, men åtminstone finns det en fungerande version av Skype som är låst. Och medan gränssnittet och funktionerna i Microsoft Store-versionen blir en anpassning, fungerar saker som att ringa och chatta bara bra i våra test, även om gränssnittet erbjuder färre alternativ. Och hej: det finns inga fula annonser i Store-versionen, så det är ett plus.
Rekommenderad:
Lägg till Kopiera till / Flytta till till Utforskaren Högerklicka Meny
En dold funktionalitet i Windows låter dig högerklicka på en fil, välj Kopiera till mapp eller Flytta till mapp och rutan Flytta till visas och låta dig välja en plats för att antingen kopiera eller flytta filen eller mappen till.
Ditt Wi-Fi-nätverk är sårbart: Hur skyddar du mot KRACK
Idag publicerade säkerhetsforskare ett dokument som beskriver en allvarlig sårbarhet i WPA2, protokollet som håller de flesta moderna Wi-Fi-nätverk säkra, inklusive den i ditt hem. Så här skyddar du dig från attacker.
Vad betyder Zero Day attack, exploatering eller sårbarhet betyder
Det här inlägget förklarar vad Zero-Day attack, exploit eller sårbarhet betyder. Anfall mot okända sårbarheter i programvara, firmware, hårdvara kallas Zero-Day attacker.
Skype Extension för Google Chrome låter dig komma åt Skype för webben och mer!
Skype-tillägg för Chrome-webbläsare låter dig komma åt Skype för webben, skapa AMA-session på Twitter, lägga till Skype-länkar i e-post och dela på Skype via webbläsaren.
Byt till Firefox 64 bit för att dra fördel av dess funktioner
Lär dig hur du byter från Firefox 32-bit till 64-bit för att få fördelar och funktioner på Windows PC. Ladda ner offlineinstallatör eller uppgradera.