За щастие, можете да избегнете проблема напълно, като замените "десктоп" версията на Skype с тази от Microsoft Store. Все пак е неудобно за собствения софтуер на Microsoft да има слабост на това фундаментално решение и въпросният експлойтинг е един Redmond предупредил други разработчици за няколко пъти.
Ето как работи този експлойт и как можете да сте сигурни, че използвате сигурната версия на Windows Store на Skype.
Какво е погрешно със Skype?
Актуализиращият софтуер трябва да ви предпази, но по ирония на съдбата на Skype, актуализирането е проблемът. Това е така, защото недостатък тук не е със самия Skype, а по-скоро инструмент, който Skype използва, за да намира и инсталира актуализации. Този инструмент за актуализиране е уязвим за DLL hjjacking, както изследователят Стефан Kanthak очертава:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
По принцип Skype изпълнява DLL от папката Temp, която потребителите могат да получат без права на администратор. Това прави незначително за лошите актьори да изключват DLL-а и да получат контрол на системното ниво върху компютъра ви. Това е вид уязвимост, която Microsoft специално предупреждава разработчиците да избягват, но екипът на Skype на Майкрософт изглежда е пропуснал тази конкретна бележка.
И се влошава. Microsoft съобщи на Канхак, че "са успели да възпроизведат проблема", но няма да издаде кръпка за разрешаване на проблема. Вместо това Microsoft планира да реши проблема по време на следващото голямо издаване на Skype - не е ясно кога ще бъде това.
Това … не е идеално. За щастие има алтернатива.
Решение: Използвайте версията на Windows Store
Microsoft предлага две версии на Skype за Windows: версията "Desktop", която е била в продължение на много години и версията на Universal Platform (UWP), която можете да изтеглите от приложението Microsoft Store, придружено от Windows. Само версията за настолни компютри е уязвима за това конкретно използване, защото само версията за настолни компютри използва свой собствен инструмент за актуализиране.
Microsoft натиска потребителите известно време към Skype версията на Skype: страницата за изтегляне на Skype насочва потребителите към магазина, например. Но много потребители все още имат десктоп версия на своите системи и те трябва да деинсталират това и да използват версията на Store само ако искат да останат в безопасност от това exploit.
Как можете да разберете коя версия имате? Най-лесният начин е да търсите "Skype" в стартовото меню. Ако виждате думите "Надеждно приложение на Microsoft Store" под името на Skype, вероятно сте покрити.
Ето версията на Microsoft Store:
Това е жалко, че Microsoft не само ще закърпи тази уязвимост, но поне има работеща версия на Skype, която е заключена. И докато интерфейсът и характеристиките на версията на Microsoft Store ще бъдат корекция, нещата като обаждане и чат работят добре в нашите тестове, дори ако интерфейсът предлага по-малко възможности. И хей: не съществуват грозни реклами във версията на магазина, така че това е плюс.
