phhsnews.com


phhsnews.com / Skype est vulnérable à un exploit malveillant: Basculer vers la version Windows Store

Skype est vulnérable à un exploit malveillant: Basculer vers la version Windows Store


Si la version de Skype sur votre ordinateur Windows est installée sur votre ordinateur, vous êtes vulnérable à un exploit vraiment désagréable. Une faille dans l'outil de mise à jour de Skype pourrait donner aux attaquants un contrôle total sur votre système, et Microsoft dit qu'il n'y aura pas de solution de sitôt.

Heureusement, vous pouvez éviter complètement le problème en remplaçant la version "desktop" de Skype avec celui disponible sur le Microsoft Store. Pourtant, il est embarrassant pour le logiciel de Microsoft d'avoir une faiblesse aussi fondamentale, et l'exploit en question est celui que Redmond a prévenu plusieurs fois d'autres développeurs.

Voici comment fonctionne cet exploit et comment vous pouvez vous assurer que vous utilisez la version Windows Store de Skype en toute sécurité

Ce qui ne va pas avec Skype?

Le logiciel de mise à jour est censé vous protéger, mais ironiquement, dans le cas de Skype, la mise à jour est le problème. C'est parce que la faille ici n'est pas avec Skype lui-même, mais plutôt avec l'outil que Skype utilise pour trouver et installer les mises à jour. Cet outil de mise à jour est vulnérable aux DLL hjjacking, comme le souligne le chercheur Stefan Kanthak:

Cet exécutable est vulnérable au détournement de DLL: il charge au moins UXTheme.dll depuis son répertoire d'application% SystemRoot% Temp à la place du répertoire système de Windows. Un utilisateur (local) non privilégié qui est en mesure de placer UXTheme.dll ou l'une des autres DLL chargées par l'exécutable vulnérable dans% SystemRoot% Temp gagne l'escalade de privilèges sur le compte système.

Fondamentalement, Skype exécute des DLL à partir du temp dossier, auquel les utilisateurs peuvent accéder sans droits d'administrateur. Cela rend trivial pour les mauvais acteurs de désactiver les DLL et d'obtenir un contrôle au niveau du système sur votre ordinateur. C'est le genre de vulnérabilité que Microsoft conseille spécifiquement aux développeurs d'éviter, mais l'équipe Skype de Microsoft semble avoir raté ce mémo.

Et ça empire. Microsoft a dit à Kanthak qu'ils "étaient capables de reproduire le problème", mais qu'il n'y aurait pas de correctif pour résoudre le problème. Au lieu de cela, Microsoft prévoit de résoudre le problème lors de la prochaine version majeure de Skype - on ne sait pas quand cela sera le cas.

Ce n'est pas idéal. Heureusement, il existe une alternative.

La solution: utiliser la version Windows Store

Microsoft propose deux versions de Skype pour Windows: la version "Desktop", qui existe depuis longtemps, et la plate-forme Windows universelle (UWP) version, que vous pouvez télécharger à partir de l'application Microsoft Store fournie avec Windows. Seule la version de bureau est vulnérable à cet exploit particulier, car seule la version de bureau utilise son propre outil de mise à jour.

Microsoft pousse les utilisateurs vers la version Microsoft Store de Skype depuis longtemps: la page de téléchargement Skype dirige les utilisateurs vers le Store , par exemple. Mais de nombreux utilisateurs ont toujours la version de bureau sur leurs systèmes, et ils devraient la désinstaller et n'utiliser la version Store que s'ils veulent rester à l'abri de cet exploit.

Comment savoir quelle version vous avez? Le moyen le plus simple est de rechercher "Skype" dans le menu Démarrer. Si vous voyez les mots "Trusted Microsoft Store app" sous le nom de Skype, vous êtes probablement couvert.

Les deux applications ont également l'air complètement différentes. Voici la version "desktop":

Si votre Skype ressemble à ceci, vous êtes vulnérable à l'exploit. Vous devez désinstaller Skype, puis télécharger la version Microsoft Store

Voici la version Microsoft Store:

Si votre Skype ressemble à ceci, vous êtes en sécurité: les mises à jour de cette version sont gérées à l'aide de Microsoft Store. pas pertinent.

Il est regrettable que Microsoft ne se contente pas de corriger cette vulnérabilité, mais qu'au moins une version de Skype fonctionnant est verrouillée. Et tandis que l'interface et les fonctionnalités de la version Microsoft Store seront un ajustement, des choses comme l'appel et le chat fonctionnent très bien dans nos tests, même si l'interface offre moins d'options. Et bon: il n'y a pas d'annonces moche sur la version du magasin, donc c'est un plus.


Comment réparer les notifications qui ne sont pas disponibles sur Android Wear

Comment réparer les notifications qui ne sont pas disponibles sur Android Wear

Android Wear est très pratique pour obtenir des informations rapides sans sortir votre téléphone. Les notifications, les appels, les rendez-vous et tout le reste vont directement à votre poignet, facilitant ainsi la vie. Mais si ces notifications cessent d'apparaître, cela peut être vraiment gênant. CONNEXE: Comment bloquer les notifications d'applications spécifiques sur Android Wear Que faire si les notifications d'application ne sont pas synchronisées Si vous Si Wear ne reçoit pas de notifications d'applications, il est fort probable que l'accès aux notifications n'ait pas été accordé ou qu'il ait été désactivé.

(how-top)

Comment changer votre photo de profil iCloud à partir de votre iPhone ou iPad

Comment changer votre photo de profil iCloud à partir de votre iPhone ou iPad

Maintenant que votre profil iCloud est au premier plan dans iOS 10, il est peut-être temps d'échanger vos vieilles initiales photo. Ainsi, tout le monde peut voir votre visage souriant en interagissant avec vous via iCloud, iMessage, AirDrop et d'autres services Apple. Tout d'abord, vous avez besoin d'une bonne photo.

(how-top)