Heldigvis kan du unngå problemet ved å erstatte "desktop" -versjonen av Skype med den som er tilgjengelig fra Microsoft Store. Likevel er det pinlig for Microsofts egen programvare å ha en svakhet denne grunnleggende, og utnyttelsen i spørsmålet er en Redmond har advart andre utviklere om flere ganger.
Slik fungerer denne utnyttelsen, og hvordan du kan sørge for at du bruker den sikre Windows Store-versjonen av Skype.
Hva er galt med Skype?
Oppdateringsprogramvare skal holde deg sikker, men ironisk nok i Skypes tilfelle er oppdateringen problemet. Det er fordi feilen her ikke er med Skype, men heller bruker verktøyet Skype å finne og installere oppdateringer. Dette oppdateringsverktøyet er sårbart for DLL hjjacking, som forsker Stefan Kanthak skisserer:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
I utgangspunktet kjører Skype DLLer fra Temp-mappen, hvilke brukere kan få tilgang uten administratorrettigheter. Dette gjør det ubrukelig for dårlige skuespillere å bytte ut DLL-ene og få systemnivåkontroll over datamaskinen. Det er den typen sårbarhet Microsoft advarer spesielt utviklere om å unngå, men Microsofts Skype-team ser ut til å ha savnet det aktuelle notatet.
Og det blir verre. Microsoft fortalte Kanthak at de "var i stand til å reprodusere problemet", men det vil ikke bli utstedt en patch utstedt for å løse problemet. I stedet planlegger Microsoft å løse problemet under neste store utgivelse av Skype-det er ikke klart når det kommer til å bli.
Det er … ikke ideelt. Heldigvis er det et alternativ.
Løsningen: Bruk Windows Store versjonen
Microsoft tilbyr to versjoner av Skype for Windows: "Desktop" -versjonen, som har eksistert i alle aldre, og UWP-versjonen (Universal Windows Platform), som du kan laste ned fra Microsoft Store-appen sammen med Windows. Bare desktop-versjonen er sårbar for denne bestemte bruken, fordi bare desktop-versjonen bruker sitt eget oppdateringsverktøy.
Microsoft har presset brukere til Microsoft Store-versjonen av Skype en stund: Skype-nedlastingssiden leder brukere til butikken, for eksempel. Men mange brukere har fortsatt desktopversjonen på sine systemer, og de bør avinstallere det og bare bruke butikkversjonen hvis de ønsker å holde seg trygge fra denne utnyttelsen.
Hvordan kan du fortelle hvilken versjon du har? Den enkleste måten er å søke etter "Skype" i startmenyen. Hvis du ser ordene "Trusted Microsoft Store app" under Skypes navn, er du sannsynligvis dekket.
Her er Microsoft Store-versjonen:
Det er uheldig at Microsoft ikke bare lapper dette sikkerhetsproblemet, men i det minste er det en fungerende versjon av Skype som er låst ned. Og mens grensesnittet og funksjonene i Microsoft Store-versjonen vil bli en tilpasning, fungerer ting som å ringe og chatte, helt fint i våre tester, selv om grensesnittet gir færre alternativer. Og hei: Det er ingen stygge annonser i Store-versjonen, så det er et pluss.