Szerencsére teljesen elkerülheti a problémát a Skype "asztali" változatának a Microsoft Store-ban elérhető cseréjével. Mégis, zavarba ejtő, hogy a Microsoft saját szoftvere gyengeséget hordoz ez, és a szóban forgó kizsákmányolás egy Redmond többször is felhívta a többi fejlesztőt.
Így működik ez a kizsákmányolás, és hogyan biztosíthatja, hogy a Skype biztonságos Windows Store verzióját használja.
Mi a probléma a Skype-val?
A szoftverfrissítés célja, hogy biztonságossá tegye, de ironikusan a Skype esetében, a frissítés a probléma. Ez azért van, mert a hiba itt nem a Skype-val, hanem a Skype által használt eszköz a frissítések megtalálásához és telepítéséhez. Ez a frissítési eszköz sérülékeny a DLL hjjacking-hez, ahogy Stefan Kanthak kutatója vázolja:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
Alapvetően a Skype DLL-eket futtat a Temp mappából, amellyel a felhasználók rendszergazdai jogosultság nélkül férhetnek hozzá. Ezáltal a rossz szereplők számára triviális, hogy kikapcsolják a DLL-eket, és rendszer szintű felügyeletet érnek el a számítógépen. Ez a fajta sebezhetőség a Microsoft kifejezetten figyelmezteti a fejlesztőket, hogy elkerüljék, de a Microsoft Skype csapata úgy tűnik, hogy nem fogadta el ezt az emlékeztetőt.
És rosszabb lesz. A Microsoft azt mondta Kanthaknak, hogy "képesek voltak reprodukálni a problémát", de nem adnak ki javításokat a probléma megoldására. Ehelyett a Microsoft azt tervezi, hogy megoldja a problémát a következő nagyszabású Skype-kiadás alatt - ez nem egyértelmű, ha ez megtörténik.
Ez … nem ideális. Szerencsére van alternatíva.
A megoldás: Használja a Windows Store verziót
A Microsoft kétféle verzióját kínálja a Skype for Windows számára: az "asztali" verzió, amely korábban létezett, és az Universal Windows Platform (UWP) verziója, amelyet letölthet a Microsoft Store alkalmazással együtt. Csak az asztali verzió sérülékeny erre a konkrét kihasználásra, mert csak az asztali verzió használja a saját frissítési eszközt.
A Microsoft a felhasználókat egy ideig a Skype Microsoft Store verziójára fókuszálja: a Skype letöltési oldal például a felhasználókat irányítja a Store-ra. De sok felhasználó még mindig rendelkezik az asztali verzióval a rendszerükön, és el kell távolítania azt, és csak a Store verziót kell használniuk, ha biztonságban akarnak maradni.
Hogyan tudja megmondani, hogy melyik verzióval rendelkezik? A legegyszerűbb módja a "Skype" keresése a start menüben. Ha a Skype neve alatt láthatja a "Megbízható Microsoft Store alkalmazás" szót, akkor valószínűleg lefedi.
Itt van a Microsoft Store verziója:
Sajnálatos, hogy a Microsoft nem csak javítja ezt a sérülékenységet, de legalább van egy olyan működőképes Skype-verzió, amely le van zárva. És bár a Microsoft Store verziójának felülete és funkciói beállítások lesznek, a csevegés és a csevegés dolgai ugyanúgy jól működnek a tesztekben, még akkor is, ha a felület kevés lehetőséget kínál. És hé: nincsenek csúnya hirdetések az áruház verzióján, tehát ez plusz.
