目次:
2023 著者: Peter John Melton | [email protected]. 最終更新日: 2023-05-26 18:41
幸いなことに、Skypeの「デスクトップ」バージョンをMicrosoft Storeから入手可能なものに置き換えることによって、この問題を完全に回避することができます。それでも、マイクロソフト自身のソフトウェアがこの基本的な弱点を抱えていることは恥ずかしいです。問題の悪用は、レッドモンドが他の開発者に何回も警告したものです。
このエクスプロイトがどのように機能し、安全なWindowsストアバージョンのSkypeを使用しているかを確認する方法は次のとおりです。
Skypeで何が間違っていますか?
ソフトウェアのアップデートはあなたを安全にしてくれるはずですが、皮肉なことにSkypeのケースではアップデートが問題です。これは、Skype自体の問題ではなく、Skypeがアップデートを見つけてインストールするためのツールだからです。研究者Stefan Kanthakが概説しているように、この更新ツールはDLL hjjackingに対して脆弱です。
This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.
基本的に、SkypeはTempフォルダからDLLを実行します.Tempフォルダは、管理者権限なしでアクセスできます。これは悪い俳優がDLLをスイッチアウトして、あなたのコンピュータ上でシステムレベルのコントロールを得ることを自明にします。 Microsoftが開発者に避けるべきだと警告する脆弱性のようなものだが、MicrosoftのSkypeチームはその特定のメモを見逃しているようだ。
そしてそれは悪化する。 MicrosoftはKanthakに "問題を再現できた"と語ったが、問題を解決するために発行されたパッチは発行されない。代わりに、MicrosoftはSkypeの次期メジャーリリースでこの問題を解決する計画を立てている。
それは…理想的ではない。ありがたいことに、代わりがあります。
解決策:Windowsストアバージョンを使用する
マイクロソフトはSkype for Windowsの2種類のバージョンを提供しています。これは、長年にわたって使用されていた「デスクトップ」バージョンと、WindowsにバンドルされているMicrosoft StoreアプリからダウンロードできるユニバーサルWindowsプラットフォーム(UWP)バージョンです。デスクトップバージョンのみが独自のアップデートツールを使用するため、デスクトップバージョンのみがこの特定の脆弱性に対して脆弱です。
マイクロソフトではユーザーをSkypeのMicrosoft Store版にしばらく置いています。Skypeのダウンロードページは、たとえばユーザーをStoreに誘導します。しかし、多くのユーザーはまだシステム上にデスクトップ版を持っており、このバージョンをアンインストールして、この悪用から安全な状態にしたい場合はストア版のみを使用するべきです。
あなたはあなたが持っているバージョンをどのように知ることができますか?最も簡単な方法は、スタートメニューの「Skype」を検索することです。 Skypeの名前の下に「信頼できるMicrosoft Storeアプリ」と表示されている場合は、おそらく対象となります。
Microsoft Storeのバージョンは次のとおりです。
Microsoftがこの脆弱性にパッチを当てるだけでなく、少なくともSkypeの動作中のバージョンがロックダウンされていることは残念です。また、Microsoft Storeバージョンのインターフェイスと機能は調整されますが、インターフェイスで使用できるオプションが少なくても、呼び出しとチャットはテストで正常に機能します。そしてちょっと:Storeバージョンには醜い広告はないので、それはプラスです。
人気のあるトピック
Windows 8のコンテキストメニューに「Windows Defenderでスキャンする」を追加する方法
Windows DefenderはWindows 8のMicrosoft Security Essentialsを置き換えますが、フォルダを右クリックしてスキャンする機能は含まれていません。ただし、このオプションは簡単にレジストリをハッキングするだけで追加できます。
Windows 7の学習:Windows Media Centerでライブテレビをセットアップする
XPからWindows 7に移行する場合は、Windows Media Center(XP Media Center Editionを使用していない場合)に多大な時間を費やしていない可能性があります。今日、あなたのコンピュータでライブテレビを見るためにそれを設定します。
Windows 10のためのベストアンチウイルスは何ですか? (Windows Defenderは十分ですか?)
Windows 10では、Windows 7のようにウイルス対策ソフトウェアをインストールすることは面倒ではありません。 Windows 8以降、WindowsにはWindows Defenderという無料のウイルス対策ソフトウェアが組み込まれています。しかし、それは本当にあなたのPCを保護するのに最適ですか?それとも十分ですか?
Windows 8は、Windows 7および21x Windows XPよりも6倍のセキュリティが強化されています
このInfographicは、デスクトップWindows 8用の最新のオペレーティングシステムにおける前例のないセキュリティレベルについて語っています.Windows XPは、多くの高度なセキュリティ機能を備えていたため、当時の素晴らしいオペレーティングシステムでした。
Windows 7、Windows Vista、Windows 8でフリップ3D
フリップ3Dショートカット、キーボードショートカット、フリップ3Dアイコンの位置、表示されるウィンドウの数の制限、フリップ3Dの無効化、フリップ3Dの動作不能の修正などを作成します。
