Skype Windows स्टोर संस्करण के लिए एक बुरा एक्सप्लॉइट स्विच के लिए कमजोर है
यदि Skype का डेस्कटॉप संस्करण आपके विंडोज कंप्यूटर पर है, तो आप वास्तव में बहुत बुरा शोषण करने के लिए कमजोर हैं। स्काइप के अपडेट टूल की एक खामी हमलावरों को आपके सिस्टम पर पूरा नियंत्रण दे सकती है, और माइक्रोसॉफ्ट का कहना है कि जल्द ही कोई फिक्स नहीं होगा.
खुशी से, आप Microsoft स्टोर से उपलब्ध एक स्काइप के "डेस्कटॉप" संस्करण को बदलकर पूरी तरह से समस्या से बच सकते हैं। फिर भी, यह Microsoft के अपने सॉफ़्टवेयर के लिए एक शर्मनाक बात है कि इस मौलिकता की कमजोरी है, और सवाल में शोषण एक है Redmond ने अन्य डेवलपर्स को कई बार चेतावनी दी है.
यहां बताया गया है कि यह क्या काम करता है, और आप यह सुनिश्चित कर सकते हैं कि आप स्काइप के सुरक्षित विंडोज स्टोर संस्करण का उपयोग कर रहे हैं.
स्काइप के साथ क्या गलत है?
अपडेट करने वाला सॉफ्टवेयर आपको सुरक्षित रखने वाला है, लेकिन विडंबना यह है कि स्काइप के मामले में, अद्यतन समस्या है। ऐसा इसलिए है क्योंकि यहाँ दोष Skype के साथ नहीं है, बल्कि उपकरण Skype अद्यतन को खोजने और स्थापित करने के लिए उपयोग करता है। यह अद्यतन उपकरण DLL hjjacking के लिए असुरक्षित है, जैसा कि शोधकर्ता स्टीफन कंठाक ने कहा है:
यह निष्पादन योग्य DLL अपहर्ता के लिए असुरक्षित है: यह Windows अनुप्रयोग प्रणाली निर्देशिका के बजाय अपने अनुप्रयोग निर्देशिका% SystemRoot% Temp से कम से कम UXTheme.dll लोड करता है। एक unprivileged (स्थानीय) उपयोगकर्ता जो UXTheme.dll या अन्य DLL में से किसी को भी% L पर रखने में सक्षम है जो SystemRoot% में कमजोर निष्पादन योग्य द्वारा लोड किया गया है। Temp लाभ सिस्टम खाते में विशेषाधिकार का लाभ.
मूल रूप से, Skype Temp फ़ोल्डर से DLL चलाता है, जिसे उपयोगकर्ता व्यवस्थापक अधिकारों के बिना एक्सेस कर सकते हैं। यह खराब अभिनेताओं के लिए DLL को बंद करने और आपके कंप्यूटर पर सिस्टम स्तर नियंत्रण हासिल करने के लिए तुच्छ बनाता है। यह उस तरह की भेद्यता है जिसे Microsoft विशेष रूप से डेवलपर्स को बचने के लिए चेतावनी देता है, लेकिन लगता है कि Microsoft की स्काइप टीम को उस विशेष ज्ञापन से चूक हुई है.
और खराब हो जाता है। माइक्रोसॉफ्ट ने कंथक को बताया कि वे "इस मुद्दे को फिर से प्रस्तुत करने में सक्षम थे," लेकिन समस्या को हल करने के लिए जारी किए गए पैच जारी नहीं किए जाएंगे। इसके बजाय, Microsoft स्काइप की अगली प्रमुख रिलीज़ के दौरान समस्या को हल करने की योजना बना रहा है-यह स्पष्ट नहीं है कि यह कब होगा.
यह आदर्श नहीं है। शुक्र है, एक विकल्प है.
समाधान: Windows स्टोर संस्करण का उपयोग करें
Microsoft Windows के लिए Skype के दो संस्करण प्रदान करता है: "डेस्कटॉप" संस्करण, जो कि युगों से चला आ रहा है, और यूनिवर्सल Windows प्लेटफ़ॉर्म (UWP) संस्करण, जिसे आप Windows के साथ बंडल किए गए Microsoft स्टोर ऐप से डाउनलोड कर सकते हैं। केवल डेस्कटॉप संस्करण ही इस विशेष कारनामे के प्रति संवेदनशील है, क्योंकि केवल डेस्कटॉप संस्करण ही अपने अपडेट टूल का उपयोग करता है.
Microsoft कुछ समय के लिए उपयोगकर्ताओं को Skype के Microsoft Store संस्करण पर धकेल रहा है: Skype डाउनलोड पृष्ठ उपयोगकर्ताओं को स्टोर पर निर्देशित करता है, उदाहरण के लिए। लेकिन कई उपयोगकर्ताओं के पास अभी भी अपने सिस्टम पर डेस्कटॉप संस्करण है, और उन्हें इसकी स्थापना रद्द करनी चाहिए और केवल स्टोर संस्करण का उपयोग करना चाहिए, यदि वे इस छूट के लिए सुरक्षित रहना चाहते हैं.
आप कैसे बता सकते हैं कि आपके पास कौन सा संस्करण है? सबसे सरल तरीका स्टार्ट मेनू में "स्काइप" की खोज करना है। यदि आप Skype के नाम के नीचे "विश्वसनीय Microsoft Store एप्लिकेशन" शब्द देखते हैं, तो आप संभवतः कवर कर सकते हैं.
दोनों ऐप भी बिल्कुल अलग दिखते हैं। यहाँ "डेस्कटॉप" संस्करण है:
यदि आपका Skype ऐसा दिखता है, तो आप शोषण के प्रति संवेदनशील हैं। आपको स्काइप को अनइंस्टॉल करना चाहिए, फिर माइक्रोसॉफ्ट स्टोर संस्करण डाउनलोड करना चाहिए.
यहाँ Microsoft स्टोर संस्करण है:
यदि आपका Skype इस तरह दिखता है, तो आप सुरक्षित हैं: Microsoft संस्करण का उपयोग करके इस संस्करण के अपडेट को संभाल लिया जाता है, इसलिए भेद्यता प्रासंगिक नहीं है.
यह दुर्भाग्यपूर्ण है कि Microsoft केवल इस भेद्यता को पैच नहीं करेगा, लेकिन कम से कम स्काइप का एक कार्यशील संस्करण है जो बंद है। और जबकि Microsoft Store संस्करण का इंटरफ़ेस और सुविधाएँ एक समायोजन होगा, कॉलिंग और चैट जैसी चीजें हमारे परीक्षणों में ठीक काम करती हैं, भले ही इंटरफ़ेस कम विकल्प प्रदान करता हो। और हे: स्टोर संस्करण पर कोई बदसूरत विज्ञापन नहीं है, इसलिए यह एक प्लस है.