\r\n\r\n
Skypeのアップデートツールの欠陥によって、攻撃者はあなたのシステムを完全にコントロールすることができ、マイクロソフトは、この欠陥はすぐには修正されないと述べています。
幸いなことに、Skypeの「デスクトップ」バージョンをMicrosoft App Storeから入手できるバージョンに置き換えることで、この問題を完全に回避することができます。とはいえ、マイクロソフト社自身のソフトはこの点でまだ弱く、恥ずかしい限りであり、レイモンドが他の開発者に繰り返し警告してきた脆弱性でもある。
この脆弱性の仕組みと、安全なWindows App Store版のSkypeを使用する方法について説明します。
ソフトウェアのアップデートは安全を守るためのものですが、皮肉なことにSkypeの場合、アップデートが問題になっているのです。それは、この脆弱性がSkypeそのものではなく、Skypeがアップデートを見つけてインストールするために使用するツールにあるからです。このアップデートツールは、研究者Stefan Kanthakが概説するように、DLL攻撃に対して脆弱です。
この実行ファイルは、少なくともUXTheme.dllをWindowsのシステムディレクトリではなく、アプリケーションディレクトリ %SystemRoot%Tempからロードするため、DLLハイジャックの脆弱性があります。非特権ユーザー(ローカル)は、UXTheme.dll または脆弱な実行ファイルがロードする他の DLL を %SystemRoot%Temp に置くことができ、SYSTEM アカウントへの権限昇格を得ることができます。
基本的にSkypeは、ユーザーが管理者権限なしでアクセスできるTempフォルダーからDLLを実行します。このため、悪質な業者がDLLを閉じ、コンピュータをシステムレベルで制御することは容易である。この脆弱性は、マイクロソフトが開発者に回避するよう明確に警告したものですが、マイクロソフトのSkypeチームはこの点を見落としたようです。
さらに悪いことにマイクロソフトはカンタクに対し、「この問題を再現できる」としながらも、修正パッチをリリースしないという。その代わり、マイクロソフトはSkypeの次のメジャーリリースでこの問題に対処する予定ですが、それがいつになるかは不明です。
それは...理想的とは言えません。
マイクロソフトは、skypeforwindowsに「デスクトップ」版と、Windowsに同梱されているアプリ「Microsoft Store」からダウンロードできる「ユニバーサルWindowsプラットフォーム(UWP)」版の2種類を提供しています。デスクトップ版のみ独自のアップデートツールを使用しているため、この攻撃を受ける可能性があります。
マイクロソフトは、以前からユーザーにマイクロソフトストア版のSkypeを勧めています。例えば、Skypeのダウンロードページでは、ユーザーをストアに誘導しています。しかし、多くのユーザーはまだデスクトップ版を使用しており、この攻撃から保護されたい場合は、そのバージョンをアンインストールし、ストア版のみを使用する必要があります。
どのバージョンを持っているかは、どうやって確認するのですか?最も簡単な方法は、スタートメニューで「Skype」を検索することです。Skypeの名前の下に「Trusted Microsoft Store Apps」というフレーズが表示されていれば、おそらくカバーされているはずです。
2つのアプリケーションは見た目も全く異なり、こちらは「デスクトップ」バージョンです。
あなたのSkypeがこのような状態であれば、攻撃を受ける可能性があります。Skypeをアンインストールしてから、Microsoft App Store版をダウンロードする必要があります。
Microsoft App Storeのバージョンは以下の通りです。
このバージョンのアップデートは、Microsoft App Storeを使用して処理されるため、この脆弱性は関係ありません。
残念ながら、マイクロソフトはこの脆弱性にパッチを当てるだけでなく、少なくとも1つのSkypeの実用版がロックされることになります。Microsoft Store版のインターフェースと機能は微調整が必要ですが、私たちのテストでは、インターフェースのオプションが少なくても、通話やチャットなどの機能はうまく機能しました。おいおい:Store版には醜い広告がないので、その点はプラスです。