Õnneks võite probleemi täielikult vältida, asendades Skype'i "töölaua" versiooni Microsoft pakutava versiooniga. Siiski on Microsofti enda tarkvara jaoks häbiväärne, et sellel on põhiline nõrkus ja kõnealune exploit on üks Redmond hoiatas teisi arendajaid mitu korda.
Siin on see, kuidas see toimib, ja kuidas saate veenduda, et kasutate Skype'i turvalist Windowsi poe versiooni.
Mis on Skypeiga vale?
Tarkvara värskendamine peaks hoitama teid turvaliselt, kuid Skype'i puhul on irooniline, probleem on ajakohastamine. Sellepärast, et viga siin ei ole Skypeiga ennast, vaid tööriist Skype kasutab värskenduste leidmiseks ja installimiseks. See värskenduse tööriist on DLL-i hjjackingile haavatav, sest teadlane Stefan Kanthak kirjeldab järgmist:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
Põhimõtteliselt käivitab Skype kataloogist Temp DLL-id, millele kasutajad saavad juurdepääsu administraatori õigustele. See teeb halva tegija jaoks triviaalseks, et lülitada välja DLL-id ja saada süsteemi arvutisse kontrolli. Selline haavatavus Microsofti hoiatab spetsiaalselt arendajaid, et neid vältida, kuid Microsoft Skype'i meeskond tundub olevat selle konkreetse memo vahele jäänud.
Ja see läheb hullemaks. Microsoft ütles Kantakile, et nad "suutsid seda probleemi reprodutseerida", kuid probleemi lahendamiseks ei anta välja plaastrit. Selle asemel kavatseb Microsoft probleemi lahendada järgmise Skype'i suurema väljaandena - see pole selge.
See on … pole ideaalne. Õnneks on olemas alternatiiv.
Lahendus: kasutage Windowsi poe versiooni
Microsoft pakub Windowsi jaoks kahte versiooni Skype'ist: "Desktop" versiooni, mis on olnud vanuses olnud, ja universaalse Windowsi platvormi (UWP) versiooni, mida saate alla laadida Windowsi komplekteeritud Microsoft poe rakendusest. Ainult töölaua versioon on selle konkreetse kasutuse suhtes haavatav, sest ainult töölauaressurss kasutab oma värskenduse tööriista.
Microsoft on juba mõnda aega Skype'i Microsofti poe versiooni kasutajaid lükkama: Skype'i allalaadimisleht suunab kasutajaid näiteks Poele. Kuid paljudel kasutajatel on nende süsteemides veel töölauaversioon ja nad peaksid selle desinstallima ja kasutama ainult poe versiooni, kui nad soovivad sellest ekspluateerimisest hoiduda.
Kuidas saate teada, millist versiooni teil on? Lihtsaim viis on otsida "Skype" menüüs Start. Kui näete sõnade "Usaldusväärne Microsoft Store'i rakendus" all Skype'i nime, olete tõenäoliselt kaetud.
Siin on Microsofti poe versioon:
On kahetsusväärne, et Microsoft ei lase selle haavatavuse parandada, kuid vähemalt on seal lukustatud Skype'i tööversioon. Ja kuigi Microsoft Poe versiooni liides ja funktsioonid on kohandamine, asjad, nagu helisemine ja vestlus, on meie testides lihtsalt suurepärased, isegi kui liides pakub vähem võimalusi. Ja hei: poe versioonil ei ole kaudseid reklaame, seega on see pluss.