ホームページ » の仕方 » SkypeはWindowsストア版への厄介なエクスプロイトへの切り替えの脆弱性

    SkypeはWindowsストア版への厄介なエクスプロイトへの切り替えの脆弱性

    Skypeのデスクトップ版があなたのWindowsコンピュータにあるなら、あなたは本当に厄介な悪用に対して脆弱です。 Skypeのアップデートツールの欠陥により、攻撃者があなたのシステムを完全に制御できるようになる可能性があり、Microsoftは近いうちに修正する予定はないとMicrosoftは述べている。.

    幸いなことに、Skypeの「デスクトップ」バージョンをMicrosoftストアから入手可能なものに置き換えることで、問題を完全に回避できます。それでも、Microsoft自身のソフトウェアがこの基本的な弱点を持つことは恥ずかしいことであり、問​​題の悪用はRedmondが他の開発者に何度も警告していることである。.

    このエクスプロイトがどのように機能するのか、また安全なWindowsストア版のSkypeを使用していることを確認する方法は次のとおりです。.

    Skypeの悪いところ?

    ソフトウェアをアップデートすることはあなたを安全に保つことになっていますが、皮肉なことにSkypeの場合、アップデートが問題です。これは、ここでの欠陥はSkype自体の問題ではなく、むしろSkypeがアップデートの検索とインストールに使用するツールであるためです。研究者Stefan Kanthakが概説しているように、このアップデートツールはDLLのハイジャックに対して脆弱です。

    この実行可能ファイルはDLLの乗っ取りに対して脆弱です。Windowsのシステムディレクトリからではなく、アプリケーションディレクトリ%SystemRoot%Tempから少なくともUXTheme.dllをロードします。 UXTheme.dllまたは脆弱な実行可能ファイルによってロードされた他のDLLを%SystemRoot%Tempに配置できる特権を持たない(ローカル)ユーザーがSYSTEMアカウントへの特権のエスカレーションを取得します.

    基本的に、SkypeはTempフォルダからDLLを実行します。このフォルダはユーザが管理者権限なしでアクセスできます。これにより、悪意のある行為者がDLLを切り替えてコンピュータをシステムレベルで制御することは簡単になります。マイクロソフトが開発者に避けるように特に警告する脆弱性の一種ですが、マイクロソフトのSkypeチームはその特定のメモを見逃しているようです.

    そしてそれは悪化します。 MicrosoftはKanthakに「問題を再現することができた」と述べたが、問題を解決するために発行されたパッチを発行することはないだろう。代わりに、マイクロソフトはSkypeの次のメジャーリリースの間に問題を解決することを計画しています - それがいつ来るかはっきりしていません.

    それは…理想的ではありません。ありがたいことに、代替手段があります.

    解決策:Windowsストア版を使用する

    マイクロソフトは、Skype for Windowsの2つのバージョンを提供しています。古くから存在してきた「デスクトップ」バージョンと、WindowsにバンドルされているMicrosoftストアアプリからダウンロードできるユニバーサルWindowsプラットフォーム(UWP)バージョンです。デスクトップ版のみが独自のアップデートツールを使用しているため、デスクトップ版のみがこの脆弱性の影響を受けます。.

    Microsoftはしばらくの間、ユーザーをMicrosoftストア版のSkypeにプッシュしてきました。たとえば、Skypeのダウンロードページでは、ユーザーをストアに誘導しています。しかし、多くのユーザーはまだ自分のシステムにデスクトップ版を持っているので、それらをアンインストールし、この悪用から安全を守りたい場合にのみStore版を使用するべきです。.

    どのバージョンを持っているのか、どうすればわかりますか?最も簡単な方法はスタートメニューで「Skype」を検索することです。 Skypeの名前の下に「Trusted Microsoft Storeアプリ」という単語が表示されている場合、おそらくカバーされているでしょう。.

    2つのアプリもまた全く違って見えます。これが「デスクトップ」版です。

    あなたのSkypeがこのように見える場合、あなたはこの脆弱性に対して脆弱です。 Skypeをアンインストールしてから、Microsoftストア版をダウンロードしてください。.

    これがMicrosoftストアのバージョンです。

    Skypeがこのように見える場合は安全です。このバージョンのアップデートはMicrosoftストアを使用して処理されるため、この脆弱性は関係ありません。.

    Microsoftがこの脆弱性にただパッチを当てるわけではないのは残念だが、少なくとも機能しているバージョンのSkypeがロックダウンされている。そして、Microsoft Store版のインターフェースと機能は調整されるでしょうが、私たちのテストでは電話やチャットのようなものはうまく機能します。そして、ちょっと:Storeバージョンには醜い広告がないので、それはプラスです.

    SlickRun for Windowのパワーユーザー
    スマートライトスイッチとスマート電球のどちらを購入する必要がありますか?
    迷惑な「正しいサービスを見つけるためにWebサービスを使う」ダイアログをスキップする
    次の記事
    Slacker Geek OutlookからあなたのFacebookのプロフィールを更新する
    前の記事
    スカイプはテキストチャットにはひどい。代わりに電報を使う