الصفحة الرئيسية » howto » سكايب هو عرضة للمفاجأة سيئة التبديل إلى إصدار متجر ويندوز

    سكايب هو عرضة للمفاجأة سيئة التبديل إلى إصدار متجر ويندوز

    إذا كان إصدار سطح المكتب من Skype موجودًا على جهاز الكمبيوتر الذي يعمل بنظام التشغيل Windows ، فأنت عرضة لاستغلال سيء حقًا. قد يعطيك خلل في أداة تحديث Skype للمهاجمين سيطرة كاملة على نظامك ، وتقول مايكروسوفت أنه لن يكون هناك إصلاح في أي وقت قريب.

    لحسن الحظ ، يمكنك تجنب المشكلة تمامًا من خلال استبدال إصدار Skype لسطح المكتب باستخدام الإصدار المتوفر من متجر Microsoft. ومع ذلك ، فإنه من المحرج أن تعاني برامج مايكروسوفت نفسها من ضعف هذه الميزة الأساسية ، وأن الاستغلال المعني هو أن أحد ردموند حذر مطورين آخرين من عدة مرات.

    إليك ما يعمل به هذا الاستغلال ، وكيف يمكنك التأكد من استخدام إصدار Windows Store الآمن من Skype.

    ما هو الخطأ مع سكايب?

    من المفترض أن يحافظك على تحديث البرامج ، ولكن من المفارقات في حالة Skype أن التحديث هو المشكلة. ذلك لأن الخلل الموجود هنا ليس مع Skype نفسها ، بل بالأحرى الأداة التي يستخدمها Skype للعثور على التحديثات وتثبيتها. أداة التحديث هذه عرضة ل hjjacking DLL ، كما يوضح الباحث ستيفان Kanthak:

    هذا الملف القابل للتنفيذ عرضة لسرقة DLL: يقوم بتحميل UXTheme.dll على الأقل من دليل التطبيق الخاص به٪ SystemRoot٪ Temp بدلاً من دليل نظام Windows '. مستخدم unprivileged (محلي) قادراً على وضع UXTheme.dll أو أي من DLLs الأخرى التي تم تحميلها من قبل الملف القابل للتنفيذ عرضة للخطر في٪ SystemRoot٪ Temp مكاسب التصعيد الامتياز إلى حساب SYSTEM.

    بشكل أساسي ، يشغّل Skype ملفات DLL من مجلد Temp ، والذي يمكن للمستخدمين الوصول إليه بدون حقوق المسؤول. هذا يجعلها تافهة للممثلين السيئين لتبديل DLL والحصول على التحكم في مستوى النظام على جهاز الكمبيوتر الخاص بك. إنه نوع من الضعف الذي تحذر Microsoft بشكل خاص المطورين من تجنبه ، ولكن يبدو أن فريق Skype التابع لشركة Microsoft قد فاته تلك المذكرة الخاصة.

    ويزداد الأمر سوءًا. وقالت مايكروسوفت لـ "كانثاك" إنها "تمكنت من إعادة إنتاج هذه القضية" ، لكن لن يكون هناك إصدار لاصلاح يتم إصداره لحل المشكلة. بدلاً من ذلك ، تخطط شركة Microsoft لحل المشكلة أثناء الإصدار الرئيسي التالي من Skype ، ولن يكون واضحًا متى سيكون ذلك.

    هذا ... ليس مثاليًا. لحسن الحظ ، هناك بديل.

    الحل: استخدم إصدار Windows Store

    تقدم Microsoft نسختين من Skype for Windows: إصدار "سطح المكتب" ، الذي كان موجودًا منذ فترة طويلة ، وإصدار النظام الأساسي العالمي لـ Windows (UWP) ، والذي يمكنك تنزيله من تطبيق متجر Microsoft المرفق مع Windows. يكون إصدار سطح المكتب فقط عرضة لهذا الاستغلال المحدد ، لأن إصدار سطح المكتب فقط يستخدم أداة التحديث الخاصة به.

    لقد دفعت Microsoft المستخدمين إلى إصدار Microsoft Store من Skype لفترة من الوقت: حيث تقوم صفحة تنزيل Skype بتوجيه المستخدمين إلى Store ، على سبيل المثال. ولكن العديد من المستخدمين لا يزال لديهم إصدار سطح المكتب على أنظمتهم ، ويجب عليهم إلغاء ذلك واستخدام إصدار Store فقط إذا كانوا يريدون البقاء في مأمن من هذا الاستغلال.

    كيف يمكنك معرفة أي إصدار لديك؟ أبسط طريقة هي البحث عن "Skype" في قائمة البداية. إذا رأيت عبارة "تطبيق موثوق لـ Microsoft Store" أسفل اسم Skype ، فقد تكون قد غطيت.

    التطبيقين أيضا تبدو مختلفة تماما. إليك إصدار "سطح المكتب":

    إذا كان Skype الخاص بك يبدو هكذا ، فأنت عرضة للثغرة. يجب عليك إلغاء تثبيت Skype ، ثم تنزيل إصدار Microsoft Store.

    إليك إصدار متجر Microsoft:

    إذا كان Skype الخاص بك يبدو هكذا ، فأنت في أمان: تتم معالجة التحديثات الخاصة بهذا الإصدار باستخدام Microsoft Store ، وبالتالي فإن الثغرة ليست ذات صلة.

    من المؤسف أن لا تقوم شركة Microsoft بتصحيح هذه الثغرة الأمنية ، ولكن هناك على الأقل نسخة عمل من Skype مؤمنة. وعلى الرغم من أن واجهة وخصائص إصدار متجر مايكروسوفت ستكون بمثابة تعديل ، فإن أشياء مثل الاتصال والدردشة تعمل بشكل جيد في اختباراتنا ، حتى إذا كانت الواجهة تقدم خيارات أقل. ويا: لا توجد إعلانات قبيحة على إصدار المتجر ، لذلك هذا هو زائد.