דף הבית » איך ל » סקייפ פגיע כדי לנצל לרעה את המעבר ל - Windows

    סקייפ פגיע כדי לנצל לרעה את המעבר ל - Windows

    אם גירסת שולחן העבודה של Skype נמצאת במחשב Windows שלך, אתה חשוף לניצול ממש מרושע. פגם בכלי העדכון של סקייפ יכול לתת לתוקפים שליטה מלאה על המערכת שלך, ומיקרוסופט אומרת שלא יהיה תיקון בקרוב.

    למרבה המזל, אתה יכול למנוע את הבעיה לחלוטין על ידי החלפת "שולחן העבודה" גירסה של סקייפ עם אחד זמין מ - Microsoft Store. ובכל זאת, זה מביך עבור התוכנה של מיקרוסופט עצמה יש חולשה זה היסוד, ואת לנצל את השאלה היא אחת רדמונד הזהיר אחרים מפתחים על מספר פעמים.

    הנה מה לנצל את זה עובד, ואיך אתה יכול לוודא שאתה משתמש בטוח חנות Windows גרסה של סקייפ.

    מה לא בסדר עם סקייפ?

    עדכון התוכנה אמור לשמור אותך מאובטח, אבל באופן אירוני במקרה של סקייפ, עדכון הבעיה. הסיבה לכך היא הפגם כאן הוא לא עם סקייפ עצמה, אלא את הכלי סקייפ משתמש כדי למצוא ולהתקין עדכונים. כלי עדכון זה חשוף ל- hljacking של DLL, כפי שמציין החוקר סטפן קנטאק:

    הפעלה זו חשופה לחטיפת DLL: היא נטענת לפחות UXTheme.dll מספריית היישום שלה% SystemRoot% Temp במקום מספריית המערכת של Windows. משתמש לא מורשה (מקומי) המסוגל להציב את UXTheme.dll או את כל קבצי DLL האחרים שטענת ההפעלה הפגיעה ב-% SystemRoot% Temp מעלים את ההרשאה של הרשאות לחשבון ה- SYSTEM.

    בעיקרון, סקייפ מפעילה קבצי DLL מהתיקיה Temp, אשר משתמשים יכולים לגשת ללא זכויות מנהל. זה עושה את זה טריוויאלי עבור שחקנים רעים כדי לכבות את קבצי DLL ולהשיג שליטה ברמת המערכת על המחשב. זה סוג של פגיעות מיקרוסופט מזהיר במיוחד למפתחים להימנע, אבל צוות סקייפ של מיקרוסופט נראה החמיץ כי תזכיר מסוים.

    וזה נהיה יותר גרוע. מיקרוסופט אמרה Kanthak הם "היו מסוגלים לשחזר את הבעיה," אבל לא יהיה הנפקת תיקון שהונפקו כדי לפתור את הבעיה. במקום זאת, מיקרוסופט מתכננת לפתור את הבעיה במהלך המהדורה הגדולה הבאה של סקייפ - לא ברור מתי זה יהיה.

    זה ... לא אידיאלי. למרבה המזל, יש אלטרנטיבה.

    הפתרון: השתמש ב- Windows Store Version

    מיקרוסופט מציעה שתי גירסאות של סקייפ עבור Windows: גירסת שולחן העבודה, שנמצאת בקרבת מקום וגירסת Universal Windows Platform (UWP), שאותה באפשרותך להוריד מאפליקציית Microsoft Store המצורפת ל- Windows. רק גירסת שולחן העבודה חשופה לניצול המסוים הזה, מכיוון שרק גירסת שולחן העבודה משתמשת בכלי העדכון שלה.

    מיקרוסופט דוחפת משתמשים לגרסת Microsoft Store של Skype למשך זמן מה: דף ההורדה של Skype מפנה משתמשים לחנות, לדוגמה. אבל משתמשים רבים עדיין יש את גירסת שולחן העבודה על המערכות שלהם, והם צריכים להסיר את זה ורק להשתמש בגירסה חנות אם הם רוצים להישאר בטוחים מן לנצל את זה.

    איך אתה יכול לדעת איזו גירסה יש לך? הדרך הפשוטה ביותר היא לחפש "סקייפ" בתפריט התחל. אם אתה רואה את המילים "מהימנה חנות Microsoft App" מתחת שם של סקייפ, אתה כנראה מכוסה.

    שני היישומים גם נראים שונים לחלוטין. הנה גירסת שולחן העבודה:

    אם סקייפ שלך נראה ככה, אתה חשוף לניצול. עליך להסיר את ההתקנה של Skype ולאחר מכן להוריד את גירסת Microsoft Store.

    הנה גירסת Microsoft Store:

    אם סקייפ שלך נראה כך, אתה בטוח: עדכונים עבור גירסה זו מטופלים באמצעות Microsoft Store, ולכן הפגיעות אינה רלוונטית.

    זה מצער כי מיקרוסופט לא רק תיקון זה פגיעות, אבל לפחות יש גרסה עובדת של סקייפ כי הוא נעול. ובעוד ממשק ותכונות של גירסת Microsoft Store תהיה התאמה, דברים כמו שיחות צ 'אט עבודה בסדר גמור בבדיקות שלנו, גם אם הממשק מציע פחות אפשרויות. היי: אין מודעות מכוערות בגרסה חנות, אז זה יתרון.