nl.phhsnews.com


nl.phhsnews.com / Skype is kwetsbaar voor een vervelende exploitatie: overschakelen naar de Windows Store-versie

Skype is kwetsbaar voor een vervelende exploitatie: overschakelen naar de Windows Store-versie


Als de desktopversie van Skype zich op uw Windows-computer bevindt, bent u kwetsbaar voor een echt lastige exploitatie. Een fout in de updatetool van Skype kan aanvallers volledige controle over uw systeem geven en Microsoft zegt dat er binnenkort geen oplossing zal zijn.

Gelukkig kunt u het probleem volledig voorkomen door de "desktop" -versie van Skype met degene die beschikbaar is in de Microsoft Store. Toch is het beschamend voor Microsofts eigen software om een ​​zwakte als fundamenteel te hebben, en de exploit in kwestie is er één die Redmond meerdere ontwikkelaars meerdere keren heeft gewaarschuwd.

Hier is wat deze exploit doet en hoe je ervoor kunt zorgen dat je gebruikt de veilige Windows Store-versie van Skype.

Wat is er mis met Skype?

Updaten van software moet je veilig houden, maar ironisch genoeg is het probleem bij het updaten van Skype. Dat komt omdat de fout hier niet bij Skype zelf ligt, maar eerder in de tool die Skype gebruikt om updates te vinden en te installeren. Deze update-tool is kwetsbaar voor DLL-hjjacking, zoals onderzoeker Stefan Kanthak beschrijft:

Dit uitvoerbare bestand is kwetsbaar voor DLL-kaping: het laadt ten minste UXTheme.dll vanuit de programmamap% SystemRoot% Temp in plaats van de systeemmap van Windows. Een niet-bevoorrechte (lokale) gebruiker die in staat is om UXTheme.dll of een van de andere DLL's geladen door het kwetsbare uitvoerbare bestand in% SystemRoot% Temp te plaatsen, escalatie van bevoegdheden naar de SYSTEM-account.

In principe voert Skype DLL's uit vanaf de Temp map, waartoe gebruikers toegang hebben zonder beheerdersrechten. Dit maakt het triviaal voor slechte acteurs om de DLL's uit te schakelen en systeemniveauregeling op je computer te krijgen. Het is het soort kwetsbaarheid dat Microsoft ontwikkelaars specifiek waarschuwt te vermijden, maar het Skype-team van Microsoft lijkt die specifieke memo te hebben gemist.

En het wordt erger. Microsoft vertelde Kanthak dat ze "in staat waren om het probleem te reproduceren", maar er zal geen patch uitgegeven worden om het probleem op te lossen. In plaats daarvan is Microsoft van plan om het probleem op te lossen tijdens de volgende grote release van Skype - het is niet duidelijk wanneer dat zal zijn.

Dat is ... niet ideaal. Gelukkig is er een alternatief.

De oplossing: gebruik de Windows Store-versie

Microsoft biedt twee versies van Skype voor Windows: de "Desktop" -versie, die al jaren bestaat, en het Universal Windows Platform (UWP) versie, die u kunt downloaden van de Microsoft Store-app gebundeld met Windows. Alleen de desktopversie is kwetsbaar voor deze specifieke exploit, omdat alleen de desktopversie een eigen updatetool gebruikt. Microsoft duwt gebruikers al een tijdje naar de Microsoft Store-versie van Skype: de downloadpagina van Skype leidt gebruikers naar de winkel , bijvoorbeeld. Maar veel gebruikers hebben nog steeds de desktopversie op hun systeem, en ze zouden dat moeten verwijderen en alleen de winkelversie gebruiken als ze zich willen beschermen tegen deze exploit.

Hoe kun je zien welke versie je hebt? De eenvoudigste manier is om te zoeken naar "Skype" in het startmenu. Als u de woorden "Trusted Microsoft Store-app" onder de naam van Skype ziet, bent u waarschijnlijk gedekt. ​​

De twee apps zien er ook compleet anders uit. Dit is de "desktop" -versie:

Als uw Skype er zo uitziet, bent u kwetsbaar voor de exploit. U moet Skype verwijderen en vervolgens de Microsoft Store-versie downloaden.

Dit is de Microsoft Store-versie:

Als uw Skype er zo uitziet, bent u veilig: updates voor deze versie worden afgehandeld met Microsoft Store, dus het beveiligingslek is niet relevant.

Het is jammer dat Microsoft dit beveiligingslek niet alleen zal repareren, maar er is tenminste een werkende versie van Skype die is vergrendeld. En hoewel de interface en functies van de Microsoft Store-versie een aanpassing zijn, werken dingen zoals bellen en chatten prima in onze tests, zelfs als de interface minder opties biedt. En hey: er zijn geen lelijke advertenties in de Store-versie, dus dat is een plus.


Het uiterlijk van Windows 10 aanpassen

Het uiterlijk van Windows 10 aanpassen

Windows 10 bevat veel personalisatie-instellingen waarmee u uw bureaubladachtergrond, Windows-kleuren, achtergrond op slotscherm en meer kunt wijzigen. Dit is wat u moet weten om uw computer er precies zo uit te laten zien als u dat wilt. We gaan het hebben over de personalisatie-instellingen die Windows beschikbaar stelt via Instellingen> Personalisatie, dus u kunt net zo goed doorgaan en dat ontbranden.

(how-top)

Een virtuele dash-knop maken voor bijna alles Amazon verkoopt

Een virtuele dash-knop maken voor bijna alles Amazon verkoopt

Amazon-dashknoppen zijn een snelle en gemakkelijke manier om producten die u vaak gebruikt opnieuw in te delen, maar ze bestaan ​​alleen voor bepaalde merken en producten . Het goede nieuws is echter dat als je een Prime-lid bent, je kunt profiteren van virtuele Dash-knoppen en snel bijna alles kunt nabestellen dat Amazon verkoopt met Prime.

(how-top)