龙空技术网

Skype很容易受到恶意攻击:切换到Windows Store版本

科技那些事365 125

前言:

而今我们对“微软系统修复中skype好多天用不了”大概比较注意,兄弟们都想要学习一些“微软系统修复中skype好多天用不了”的相关资讯。那么小编也在网络上网罗了一些有关“微软系统修复中skype好多天用不了””的相关内容,希望姐妹们能喜欢,大家一起来了解一下吧!

如果桌面版Skype在你的Windows电脑上,你很容易受到一个非常恶劣的攻击。Skype的更新工具有一个缺陷,可以让攻击者完全控制你的系统,微软说,短期内不会有解决方案。

幸运的是,你可以完全避免这个问题,用微软商店里的“桌面版”Skype来代替。不过,微软自己的软件在这一基础上存在弱点,这让微软很尴尬,而这个问题的漏洞在于,微软已经多次警告过其他开发者。

下面是这个漏洞的工作原理,以及如何确保你使用的是安全的Windows Store版本的Skype。

Skype有什么问题?

更新软件是为了保证你的安全,但讽刺的是,在Skype的案例中,更新是问题所在。这是因为Skype本身的缺陷并不在于Skype本身,而是Skype用于查找和安装更新的工具。这一更新工具很容易被DLL劫持,研究人员Stefan Kanthak概述:

这个可执行文件很容易被DLL劫持:它从它的应用程序目录%SystemRoot%Temp中装载至少是UXTheme.dll,而不是Windows的系统目录。一个没有特权的(本地)用户,能够将UXTheme.dll或任何其他由易受攻击的可执行文件加载到%SystemRoot%临时的dll中,将特权升级到系统帐户。

基本上,Skype在临时文件夹中运行dll,用户可以在没有管理员权限的情况下访问该文件夹。这使得坏的角色切换到dll并获得系统级别的控制对您的计算机来说是微不足道的。微软特别警告开发者要避免这种漏洞,但微软的Skype团队似乎已经错过了这一特别的备忘录。

情况变得更糟。微软对Kanthak说,他们“能够重现这个问题”,但不会发布补丁来解决这个问题。相反,微软计划在Skype的下一个主要版本中解决这个问题——目前还不清楚这将会是什么时候。

那是。不太理想。谢天谢地,还有另一种选择。

解决方案:使用Windows Store版本

微软为Windows提供了两种版本的Skype:“桌面版”,这一版本已经存在了很长时间,而通用Windows平台(UWP)版本,你可以从微软商店应用程序中下载。只有桌面版才容易受到这种特殊的攻击,因为只有桌面版本使用了它自己的更新工具。

微软一直在推动用户使用微软商店版本的Skype:例如,Skype下载页面将用户引导至商店。但是许多用户仍然在他们的系统上安装了桌面版本,他们应该卸载这个版本,并且只使用商店版本,如果他们想要安全的话。

你怎么知道你是哪个版本的?最简单的方法是在开始菜单中搜索“Skype”。如果你在Skype的名字下面看到“值得信赖的微软商店应用”的字样,你可能已经被覆盖了。

这两款应用看起来也完全不同。下面是“桌面”版本:

如果你的Skype是这样的,你很容易受到攻击。你应该卸载Skype,然后下载微软商店的版本。

以下是微软商店的版本:

如果你的Skype是这样的,那么你是安全的:这个版本的更新是用微软商店处理的,所以这个漏洞是不相关的。

不幸的是,微软不仅修补了这个漏洞,而且至少有一个工作版本的Skype被锁定了。虽然微软商店版的界面和功能将是一种调整,但在我们的测试中,即使界面提供的选项更少,但在我们的测试中,呼叫和聊天功能也能正常工作。在商店的版本里没有丑陋的广告,所以这是一个加号。

标签: #微软系统修复中skype好多天用不了 #skype电脑版更新下载失败