it.phhsnews.com


it.phhsnews.com / Skype è vulnerabile a un brutto exploit: passa alla versione di Windows Store

Skype è vulnerabile a un brutto exploit: passa alla versione di Windows Store


Se la versione desktop di Skype è sul tuo computer Windows, sei vulnerabile a un exploit davvero sgradevole. Un difetto nello strumento di aggiornamento di Skype potrebbe consentire agli aggressori di avere il pieno controllo del sistema, e Microsoft dice che non ci sarà una soluzione a breve.

Fortunatamente, puoi evitare completamente il problema sostituendo la versione "desktop" di Skype con quello disponibile da Microsoft Store. Tuttavia, è imbarazzante che il software Microsoft abbia una debolezza così fondamentale, e l'exploit in questione è uno che Redmond ha avvisato altri sviluppatori di più volte.

Ecco come funziona questo exploit e come puoi essere sicuro di stare usando la versione Windows Store sicura di Skype.

Cosa c'è di sbagliato con Skype?

L'aggiornamento del software dovrebbe tenerti al sicuro, ma ironicamente, nel caso di Skype, l'aggiornamento è il problema. Questo perché il difetto qui non è con Skype stesso, ma piuttosto lo strumento utilizzato da Skype per trovare e installare gli aggiornamenti. Questo strumento di aggiornamento è vulnerabile al hjjacking DLL, come sottolinea il ricercatore Stefan Kanthak:

Questo eseguibile è vulnerabile al dirottamento DLL: carica almeno UXTheme.dll dalla directory dell'applicazione% SystemRoot% Temp invece dalla directory di sistema di Windows. Un utente (locale) non privilegiato che è in grado di inserire UXTheme.dll o una delle altre DLL caricate dall'eseguibile vulnerabile in% SystemRoot% Temp acquisisce l'escalation dei privilegi sull'account SYSTEM.

Fondamentalmente, Skype esegue DLL da Temp cartella, a cui gli utenti possono accedere senza diritti di amministratore. Ciò rende banale la possibilità per i cattivi attori di sostituire le DLL e ottenere il controllo del livello di sistema sul computer. È il tipo di vulnerabilità Microsoft avvisa in modo specifico gli sviluppatori da evitare, ma il team Skype di Microsoft sembra aver perso quel particolare promemoria.

E peggiora. Microsoft ha detto a Kanthak che "sono stati in grado di riprodurre il problema", ma non verrà rilasciata alcuna patch per risolvere il problema. Invece, Microsoft ha in programma di risolvere il problema durante la prossima major release di Skype: non è chiaro quando lo sarà.

Questo ... non è l'ideale. Fortunatamente, c'è un'alternativa.

La soluzione: utilizzare la versione di Windows Store

Microsoft offre due versioni di Skype per Windows: la versione "Desktop", che esiste da anni, e la Universal Windows Platform (UWP) versione, che è possibile scaricare dall'app Microsoft Store in bundle con Windows. Solo la versione desktop è vulnerabile a questo particolare exploit, perché solo la versione desktop utilizza il proprio strumento di aggiornamento.

Microsoft ha spinto gli utenti alla versione Microsoft Store di Skype per un po 'di tempo: la pagina di download di Skype indirizza gli utenti allo Store , per esempio. Ma molti utenti hanno ancora la versione desktop sui loro sistemi, e dovrebbero disinstallarla e utilizzare la versione Store solo se vogliono stare al sicuro da questo exploit.

Come puoi sapere quale versione hai? Il modo più semplice è cercare "Skype" nel menu di avvio. Se vedi le parole "Trusted Microsoft Store app" sotto il nome di Skype, probabilmente sei coperto.

Anche le due app sembrano completamente diverse. Ecco la versione "desktop":

Se il tuo Skype appare così, sei vulnerabile all'exploit. Dovresti disinstallare Skype, quindi scaricare la versione di Microsoft Store.

Ecco la versione di Microsoft Store:

Se il tuo Skype è così, sei al sicuro: gli aggiornamenti per questa versione sono gestiti tramite Microsoft Store, quindi la vulnerabilità è non pertinente.

È un peccato che Microsoft non tolleri solo questa vulnerabilità, ma almeno c'è una versione funzionante di Skype bloccata. E mentre l'interfaccia e le funzionalità della versione di Microsoft Store saranno un aggiustamento, cose come la chiamata e la chat funzionano bene nei nostri test, anche se l'interfaccia offre meno opzioni. E hey: non ci sono brutti annunci nella versione Store, quindi questo è un vantaggio.


How to Bookmark Posts su Instagram

How to Bookmark Posts su Instagram

Instagram è una grande fonte di ispirazione per molte cose: fotografie, luoghi da visitare, abiti da indossare e molto altro. Ma per trasformare qualcosa dall'ispirazione in un riferimento reale, devi essere in grado di conservare i post degli altri per dopo. Ecco come salvare post su Instagram. Apri Instagram e trova una foto che desideri salvare per dopo.

(how-top)

Come impostare Authy per l'autenticazione a due fattori (e sincronizzare i codici tra dispositivi)

Come impostare Authy per l'autenticazione a due fattori (e sincronizzare i codici tra dispositivi)

Le password complesse non sono più sufficienti: si consiglia di utilizzare l'autenticazione a due fattori quando possibile. Idealmente, ciò significa utilizzare un'app che genera codici di autenticazione sul telefono o un token hardware fisico. Preferiamo Authy quando si tratta di app di autenticazione: è compatibile con tutti i siti che utilizzano Google Authenticator, ma è più potente e conveniente.

(how-top)