Nếu phiên bản Skype dành cho máy tính để bàn trên máy tính Windows của bạn, bạn sẽ dễ bị khai thác một cách thực sự khó chịu. Một lỗ hổng trong công cụ cập nhật của Skype có thể cho phép kẻ tấn công toàn quyền kiểm soát hệ thống của bạn và Microsoft cho biết sẽ không sớm có bản sửa lỗi.
Rất may là bạn có thể tránh hoàn toàn sự cố bằng cách thay thế phiên bản Skype “dành cho máy tính để bàn” bằng phiên bản có sẵn từ Microsoft Store. Tuy nhiên, thật đáng xấu hổ khi phần mềm của chính Microsoft lại có một điểm yếu cơ bản này và cách khai thác được đề cập là một trong những cách mà Redmond đã cảnh báo các nhà phát triển khác nhiều lần.
Đây là cách hoạt động của cách khai thác này và cách bạn có thể đảm bảo rằng mình đang sử dụng phiên bản Windows Store an toàn của Skype.
Skype bị lỗi gì?
Cập nhật phần mềm được cho là để giữ an toàn cho bạn, nhưng trớ trêu thay trong trường hợp của Skype, việc cập nhật lại là vấn đề. Đó là bởi vì lỗ hổng ở đây không phải do chính Skype mà là công cụ mà Skype sử dụng để tìm và cài đặt các bản cập nhật. Công cụ cập nhật này dễ bị tấn công bởi DLL, như nhà nghiên cứu Stefan Kanthak đã phác thảo:
Tệp thực thi này dễ bị tấn công DLL: nó tải ít nhất UXTheme.dll từ thư mục ứng dụng% SystemRoot% Temp thay vì từ thư mục hệ thống của Windows. Người dùng không có đặc quyền (cục bộ) có thể đặt UXTheme.dll hoặc bất kỳ tệp DLL nào khác được tải bởi tệp thực thi dễ bị tấn công trong% SystemRoot% Temp sẽ nhận được đặc quyền đối với tài khoản SYSTEM.
Về cơ bản, Skype chạy các tệp DLL từ thư mục Temp, mà người dùng có thể truy cập mà không cần quyền quản trị viên. Điều này làm cho các tác nhân xấu chuyển đổi các DLL và giành quyền kiểm soát mức hệ thống đối với máy tính của bạn là điều tầm thường. Đây là loại lỗ hổng mà Microsoft đặc biệt cảnh báo các nhà phát triển nên tránh, nhưng nhóm Skype của Microsoft dường như đã bỏ qua bản ghi nhớ cụ thể đó.
Và nó trở nên tồi tệ hơn. Microsoft nói với Kanthak rằng họ “có thể tái tạo sự cố”, nhưng sẽ không có bản vá nào được phát hành để giải quyết vấn đề. Thay vào đó, Microsoft có kế hoạch giải quyết vấn đề trong lần phát hành lớn tiếp theo của Skype — không rõ khi nào sẽ xảy ra.
Đó là… không lý tưởng. Rất may, có một giải pháp thay thế.
Giải pháp: Sử dụng phiên bản Windows Store
Microsoft cung cấp hai phiên bản Skype dành cho Windows: phiên bản “Máy tính để bàn” đã có từ lâu đời và phiên bản Nền tảng Windows chung (UWP) mà bạn có thể tải xuống từ ứng dụng Microsoft Store đi kèm với Windows. Chỉ có phiên bản dành cho máy tính để bàn là dễ bị khai thác cụ thể này, vì chỉ phiên bản dành cho máy tính để bàn sử dụng công cụ cập nhật riêng của nó.
Microsoft đã đẩy người dùng lên phiên bản Microsoft Store của Skype trong một thời gian: trang tải xuống Skype hướng người dùng đến Store chẳng hạn. Nhưng nhiều người dùng vẫn có phiên bản dành cho máy tính để bàn trên hệ thống của họ và họ nên gỡ cài đặt phiên bản đó và chỉ sử dụng phiên bản Store nếu họ muốn giữ an toàn trước sự khai thác này.
Làm thế nào bạn có thể biết bạn có phiên bản nào? Cách đơn giản nhất là tìm kiếm “Skype” trong menu bắt đầu. Nếu bạn thấy dòng chữ “Ứng dụng Microsoft Store đáng tin cậy” bên dưới tên của Skype, có thể bạn đã bị che mất.
Hai ứng dụng trông cũng hoàn toàn khác nhau. Đây là phiên bản “máy tính để bàn”:
Nếu Skype của bạn trông như thế này, bạn dễ bị khai thác. Bạn nên gỡ cài đặt Skype, sau đó tải xuống phiên bản Microsoft Store.
Đây là phiên bản Microsoft Store:
Nếu Skype của bạn trông như thế này, bạn vẫn an toàn: các bản cập nhật cho phiên bản này được xử lý bằng Microsoft Store, vì vậy lỗ hổng bảo mật không liên quan.
Thật không may là Microsoft sẽ không chỉ vá lỗ hổng này, nhưng ít nhất cũng có một phiên bản Skype đang hoạt động bị khóa. Và trong khi giao diện và các tính năng của phiên bản Microsoft Store sẽ là một sự điều chỉnh, những thứ như gọi điện và trò chuyện vẫn hoạt động tốt trong các thử nghiệm của chúng tôi, ngay cả khi giao diện cung cấp ít tùy chọn hơn. Và này: không có quảng cáo xấu xí nào trên phiên bản Store, vì vậy đó là một điểm cộng.
