da.phhsnews.com


da.phhsnews.com / Skype er sårbar over for en ubehagelig udnyttelse: Skift til Windows Store Version

Skype er sårbar over for en ubehagelig udnyttelse: Skift til Windows Store Version


Hvis desktopversionen af ​​Skype er på din Windows-computer, er du sårbar overfor en virkelig uhyggelig udnyttelse. En fejl i Skypes opdateringsværktøj kunne give angriberne fuld kontrol over dit system, og Microsoft siger, at der snart ikke er nogen løsning.

Heldigvis kan du undgå problemet fuldstændigt ved at erstatte "desktop" versionen af Skype med den tilgængelige fra Microsoft Store. Alligevel er det pinligt for Microsofts egen software at have en svaghed denne grundlæggende, og udnyttelsen er en Redmond har advaret andre udviklere om flere gange.

Her er hvad denne udnyttelse virker, og hvordan du kan sikre dig at du bruger Den sikre Windows Store-version af Skype.

Hvad er der forkert med Skype?

Opdateringssoftwaren skal holde dig sikker, men ironisk nok i Skypes tilfælde er opdateringen problemet. Det skyldes, at fejlen her ikke er med Skype selv, men snarere værktøjet Skype bruger til at finde og installere opdateringer. Dette opdateringsværktøj er sårbart over for DLL hjjacking, som forsker Stefan Kanthak beskriver:

Denne eksekverbarhed er sårbar over for DLL-kapring: den laster mindst UXTheme.dll fra dens applikationsmappe% SystemRoot% Temp i stedet fra Windows systemkatalog. En ufrivillig (lokal) bruger, der kan placere UXTheme.dll eller nogen af ​​de andre DLL'er, der er indlæst af den sårbare eksekverbare i% SystemRoot% Temp, opnår eskalering af privilegium til SYSTEM-kontoen.

Skype kører i princippet DLL'er fra Temp mappe, hvilke brugere kan få adgang uden administratorrettigheder. Dette gør det trivielt for dårlige skuespillere at skifte DLL'erne og få systemstyring over din computer. Det er den slags sårbarhed, Microsoft advarer specielt udviklere om at undgå, men Microsofts Skype-team synes at have savnet det pågældende notat.

Og det bliver værre. Microsoft fortalte Kanthak, at de "kunne reproducere problemet", men der vil ikke udstedes en patch udstedt for at løse problemet. I stedet planlægger Microsoft at løse problemet under den næste store udgivelse af Skype-det er ikke klart, hvornår det vil være.

Det er ikke ideelt. Heldigvis er der et alternativ.

Løsningen: Brug Windows Store Version

Microsoft tilbyder to versioner af Skype til Windows: "Desktop" -versionen, som har eksisteret i mange år, og Universal Windows Platform (UWP) version, som du kan downloade fra Microsoft Store-appen bundtet med Windows. Kun desktop-versionen er sårbar over for denne særlige udnyttelse, fordi kun den stationære version bruger sit eget opdateringsværktøj.

Microsoft har skubbet brugere til Microsoft Store-versionen af ​​Skype i et stykke tid: Skype-download-siden leder brugere til butikken , for eksempel. Men mange brugere har stadig den desktop-version på deres systemer, og de skal afinstallere det og kun bruge Store-versionen, hvis de ønsker at være sikre på denne udnyttelse.

Hvordan kan du se hvilken version du har? Den nemmeste måde er at søge efter "Skype" i startmenuen. Hvis du ser ordene "Trusted Microsoft Store app" under Skypes navn, er du sikkert dækket.

De to apps ser også helt anderledes ut. Her er "desktop" -versionen:

Hvis din Skype ser ud som dette, er du udsat for udnyttelsen. Du bør afinstallere Skype og derefter downloade Microsoft Store-versionen.

Her er Microsoft Store-versionen:

Hvis din Skype ligner dette, er du sikker: opdateringer til denne version håndteres ved hjælp af Microsoft Store, så sårbarheden er ikke relevant.

Det er uheldigt, at Microsoft ikke blot lapper denne sårbarhed, men i det mindste er der en fungerende version af Skype, der er låst ned. Og mens grænsefladen og funktionerne i Microsoft Store-versionen er en tilpasning, fungerer ting som at ringe og chatte fungere fint i vores test, selvom grænsefladen tilbyder færre muligheder. Og hej: Der er ingen grimme annoncer i Store-versionen, så det er et plus.


Sådan stopper du din Mac fra automatisk tilslutning til et Wi-Fi-netværk

Sådan stopper du din Mac fra automatisk tilslutning til et Wi-Fi-netværk

Din Mac genopretter automatisk til Wi-Fi-netværk, som du tidligere har tilsluttet. Starter med macOS High Sierra, kan du nu fortælle din Mac ikke automatisk at oprette forbindelse til visse Wi-Fi-netværk. Din Mac vil huske Wi-Fi-netværkets adgangskode og andre forbindelsesdetaljer, men forbinder ikke, medmindre du fortæller det.

(how-top)

Sådan fjerner du Xbox, PlayStation og andre controllerknapper i damp

Sådan fjerner du Xbox, PlayStation og andre controllerknapper i damp

Når du tilslutter en spilcontroller til din pc, uanset om det er en Xbox-controller, PlayStation controller, Steam controller eller noget ellers-du kan ombygge knapperne til individuelle dampspil, du vil have. Sådan fungerer det. Denne funktion startede med Steam Controller og PlayStation 4-controlleren, men en nylig opdatering giver dig mulighed for at ombygge knapper på enhver controller, du vil have, herunder Xbox 360 og Xbox One controllere.

(how-top)