खुशी से, आप स्काइप के "डेस्कटॉप" संस्करण को माइक्रोसॉफ्ट स्टोर से उपलब्ध एक के साथ पूरी तरह से समस्या से बच सकते हैं। फिर भी, माइक्रोसॉफ्ट के अपने सॉफ्टवेयर के लिए यह शर्मनाक है कि इस मौलिक कमजोर पड़ने के लिए, और सवाल में शोषण एक रेडमंड ने कई डेवलपर्स को कई बार चेतावनी दी है।
यह शोषण क्या काम करता है, और आप यह सुनिश्चित कर सकते हैं कि आप स्काइप के सुरक्षित विंडोज स्टोर संस्करण का उपयोग कर रहे हैं।
स्काइप के साथ गलत क्या है?
सॉफ़्टवेयर अपडेट करना आपको सुरक्षित रखना है, लेकिन स्काइप के मामले में विडंबना यह है कि अद्यतन करना समस्या है। ऐसा इसलिए है क्योंकि यहां दोष स्काइप के साथ नहीं है, बल्कि टूल स्काइप अपडेट खोजने और इंस्टॉल करने के लिए उपयोग करता है। यह अद्यतन उपकरण डीएलएल hjjacking के लिए कमजोर है, क्योंकि शोधकर्ता स्टीफन कंथक रूपरेखा:
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
असल में, स्काइप टेम्पल फ़ोल्डर से डीएलएल चलाता है, जो उपयोगकर्ता प्रशासक अधिकारों के बिना पहुंच सकते हैं। इससे खराब अभिनेताओं के लिए डीएलएल को बाहर निकालना और आपके कंप्यूटर पर सिस्टम स्तर नियंत्रण प्राप्त करना मुश्किल हो जाता है। यह माइक्रोसॉफ्ट विशेष रूप से डेवलपर्स से बचने के लिए चेतावनी देता है, लेकिन माइक्रोसॉफ्ट की स्काइप टीम ने उस विशेष ज्ञापन को याद किया है।
और यह बदतर हो जाता है। माइक्रोसॉफ्ट ने कंथक से कहा कि वे "इस मुद्दे को पुन: उत्पन्न करने में सक्षम थे," लेकिन समस्या को हल करने के लिए जारी एक पैच जारी नहीं किया जाएगा। इसके बजाए, माइक्रोसॉफ्ट स्काइप की अगली बड़ी रिलीज के दौरान समस्या को हल करने की योजना बना रहा है- यह स्पष्ट नहीं होगा कि यह कब होगा।
यह … आदर्श नहीं है। शुक्र है, एक विकल्प है।
समाधान: विंडोज स्टोर संस्करण का प्रयोग करें
माइक्रोसॉफ्ट विंडोज के लिए स्काइप के दो संस्करण प्रदान करता है: "डेस्कटॉप" संस्करण, जो कि उम्र के आसपास रहा है, और यूनिवर्सल विंडोज प्लेटफार्म (यूडब्ल्यूपी) संस्करण, जिसे आप माइक्रोसॉफ्ट स्टोर ऐप से डाउनलोड कर सकते हैं, विंडोज के साथ बंडल किया गया है। केवल डेस्कटॉप संस्करण इस विशेष शोषण के लिए कमजोर है, क्योंकि केवल डेस्कटॉप संस्करण ही अपने अद्यतन उपकरण का उपयोग करता है।
माइक्रोसॉफ्ट कुछ समय के लिए स्काइप के माइक्रोसॉफ्ट स्टोर संस्करण में उपयोगकर्ताओं को धक्का दे रहा है: स्काइप डाउनलोड पेज उपयोगकर्ताओं को स्टोर में निर्देशित करता है, उदाहरण के लिए। लेकिन कई उपयोगकर्ताओं के पास अभी भी उनके सिस्टम पर डेस्कटॉप संस्करण है, और उन्हें अनइंस्टॉल करना चाहिए और केवल स्टोर संस्करण का उपयोग करना चाहिए यदि वे इस शोषण से सुरक्षित रहना चाहते हैं।
आप कैसे बता सकते हैं कि आपके पास कौन सा संस्करण है? प्रारंभ मेनू में "स्काइप" की खोज करना सबसे आसान तरीका है। यदि आप स्काइप के नाम से नीचे "विश्वसनीय माइक्रोसॉफ्ट स्टोर ऐप" शब्द देखते हैं, तो आप शायद कवर कर रहे हैं।
माइक्रोसॉफ्ट स्टोर संस्करण यहां है:
यह दुर्भाग्यपूर्ण है कि माइक्रोसॉफ्ट सिर्फ इस भेद्यता को पैच नहीं करेगा, लेकिन कम से कम स्काइप का एक वर्किंग वर्जन लॉक हो गया है। और जबकि माइक्रोसॉफ़्ट स्टोर संस्करण का इंटरफ़ेस और फीचर्स एक समायोजन होगा, कॉलिंग और चैट जैसे चीजें हमारे परीक्षणों में ठीक है, भले ही इंटरफ़ेस कम विकल्प प्रदान करता हो। और हे: स्टोर संस्करण पर कोई बदसूरत विज्ञापन नहीं है, इसलिए यह एक प्लस है।
