Našťastie sa môžete tomuto problému úplne vyhnúť tým, že nahradíte verziu "desktop" verzie Skype, ktorá je k dispozícii v obchode Microsoft Store. Napriek tomu je pre vlastný softvér spoločnosti Microsoft veľmi ťažké mať túto základnú slabosť a zneužívanie, o ktoré sa hovorí, je jedným z Redmond, ktorý niekoľkokrát varoval iných vývojárov.
Tu je to, čo toto zneužitie funguje, a ako sa môžete ubezpečiť, že používate bezpečnú verziu Skype pre systém Windows Store.
Čo je nesprávne v programe Skype?
Aktualizácia softvéru by vás mala zabezpečiť, ale ironicky v prípade Skype, je aktualizácia problémom. Je to preto, lebo chyba tu nie je v systéme Skype, ale skôr nástroj, ktorý Skype používa na vyhľadanie a inštaláciu aktualizácií. Tento nástroj na aktualizáciu je citlivý na DLL hjjacking, ako to výskumník Stefan Kanthak načrtáva:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
V zásade Skype spúšťa súbory DLL z priečinka Temp, ktoré môžu používatelia získať bez práv administrátora. To robí triviálne pre zlých hercov vypnutie DLL a získať systémovú úroveň kontroly nad počítačom. Je to druh zraniteľnosti, ktorý spoločnosť Microsoft výslovne varuje, aby sa vyhýbali vývojárom, ale zdá sa, že spoločnosť Microsoft Skype neprijala konkrétnu poznámku.
A to sa zhoršuje. Spoločnosť Microsoft povedala Kanthakovi, že "dokázali tento problém reprodukovať", ale nevydalo sa vydanie opravy vyriešenej problému. Namiesto toho spoločnosť Microsoft plánuje vyriešiť tento problém počas ďalšieho veľkého vydania Skype - nie je jasné, kedy to bude.
To nie je ideálne. Našťastie existuje alternatíva.
Riešenie: Používajte verziu systému Windows Store
Spoločnosť Microsoft ponúka dve verzie programu Skype pre systém Windows: verziu "Desktop", ktorá je už dlhú dobu a verziu Univerzálnej platformy Windows (UWP), ktorú si môžete prevziať z aplikácie Microsoft Store, ktorá je súčasťou systému Windows. Len verzia pre stolné počítače je voči tomuto konkrétnemu zneužitiu zraniteľná, pretože iba verzia pre stolné počítače používa vlastný nástroj na aktualizáciu.
Spoločnosť Microsoft na chvíľu tlačila používateľov na verziu programu Microsoft Store pre Skype: stránka na prevzatie Skype smeruje používateľov napríklad do obchodu. Mnohí používatelia však stále majú na svojom systéme verziu pre stolné počítače a mali by ju odinštalovať a používať verziu Store iba vtedy, ak chcú zostať v bezpečí pred týmto zneužitím.
Ako môžete zistiť, ktorú verziu máte? Najjednoduchšia cesta je v ponuke Štart vyhľadávať "Skype". Ak uvidíte slová "dôveryhodná aplikácia Microsoft Store" pod menom Skype, pravdepodobne ste sa vzťahujú.
Tu je verzia Microsoft Store:
Je to nešťastné, že Microsoft nebude len opraviť túto chybu, ale aspoň tam je pracovná verzia Skype, ktorý je uzamknutý. A zatiaľ čo rozhranie a funkcie verzie Microsoft Store budú upravené, veci ako volanie a rozhovor fungujú v našich testoch v poriadku, aj keď rozhranie ponúka menej možností. A hej: na verzii Store nie sú žiadne ošklivé reklamy, takže je to plus.
