Jika versi desktop Skype ada di komputer Windows Anda, Anda rentan terhadap eksploitasi yang sangat buruk. Kelemahan dalam alat pembaruan Skype dapat memberi penyerang kontrol penuh atas sistem Anda, dan Microsoft mengatakan tidak akan ada perbaikan dalam waktu dekat.
Untungnya, Anda dapat menghindari masalah sepenuhnya dengan mengganti versi "desktop" Skype dengan yang tersedia dari Microsoft Store. Namun, memalukan untuk perangkat lunak Microsoft sendiri memiliki kelemahan mendasar ini, dan eksploit yang dimaksud adalah salah satu Redmond telah memperingatkan pengembang lain tentang beberapa kali.
Inilah yang mengeksploitasi ini bekerja, dan bagaimana Anda dapat memastikan Anda menggunakan versi aman Windows Store Store.
Memperbarui perangkat lunak seharusnya membuat Anda tetap aman, tetapi ironisnya dalam kasus Skype, memperbarui adalah masalahnya. Itu karena cacat di sini bukan dengan Skype itu sendiri, melainkan alat yang digunakan Skype untuk menemukan dan menginstal pembaruan. Alat pembaruan ini rentan terhadap DLL hjjacking, seperti yang peneliti Stefan Kanthak uraikan:
Eksekusi ini rentan terhadap pembajakan DLL: ia memuat setidaknya UXTheme.dll dari direktori aplikasi% SystemRoot% Temp daripada dari direktori sistem Windows. Seorang pengguna (lokal) unprivileged yang mampu menempatkan UXTheme.dll atau salah satu dari DLL lain yang dimuat oleh rentan dieksekusi di% SystemRoot% Temp memperoleh eskalasi hak istimewa ke akun SISTEM.
Pada dasarnya, Skype menjalankan DLL dari folder Temp, yang dapat diakses pengguna tanpa hak administrator. Hal ini membuatnya sepele bagi aktor jahat untuk mengganti DLL dan mendapatkan kontrol tingkat sistem terhadap komputer Anda. Ini jenis kerentanan Microsoft secara khusus memperingatkan pengembang untuk menghindari, tetapi tim Skype Microsoft tampaknya telah melewatkan memo tertentu.
Dan itu semakin parah. Microsoft mengatakan kepada Kanthak bahwa mereka "dapat mereproduksi masalah," tetapi tidak akan ada penerbitan patch yang diterbitkan untuk memecahkan masalah. Sebaliknya, Microsoft berencana memecahkan masalah selama rilis besar Skype berikutnya - tidak jelas kapan itu akan terjadi.
Itu ... tidak ideal. Untungnya, ada alternatif.
Microsoft menawarkan dua versi Skype untuk Windows: versi "Desktop", yang sudah ada sejak lama, dan versi Universal Windows Platform (UWP), yang dapat Anda unduh dari aplikasi Microsoft Store yang dibundel dengan Windows. Hanya versi desktop yang rentan terhadap eksploitasi khusus ini, karena hanya versi desktop yang menggunakan alat pembaruannya sendiri.
Microsoft telah mendorong pengguna ke versi Microsoft Store Skype untuk sementara waktu: halaman unduh Skype mengarahkan pengguna ke Store, misalnya. Tetapi banyak pengguna masih memiliki versi desktop pada sistem mereka, dan mereka harus menghapus itu dan hanya menggunakan versi Store jika mereka ingin tetap aman dari eksploitasi ini.
Bagaimana Anda bisa tahu versi mana yang Anda miliki? Cara termudah adalah mencari "Skype" di menu mulai. Jika Anda melihat kata-kata "Aplikasi Microsoft Store Tepercaya" di bawah nama Skype, Anda mungkin tertutup.
Kedua aplikasi juga terlihat sangat berbeda. Inilah versi "desktop":
Jika Skype Anda terlihat seperti ini, Anda rentan terhadap eksploitasi. Anda harus menghapus Skype, lalu mengunduh versi Microsoft Store.
Inilah versi Microsoft Store:
Jika Skype Anda terlihat seperti ini, Anda aman: pembaruan untuk versi ini ditangani menggunakan Microsoft Store, sehingga kerentanannya tidak relevan.
Sangat disayangkan bahwa Microsoft tidak akan hanya menambal kerentanan ini, tetapi setidaknya ada versi kerja Skype yang dikunci. Dan sementara antarmuka dan fitur dari versi Microsoft Store akan menjadi penyesuaian, hal-hal seperti menelepon dan mengobrol berfungsi dengan baik dalam pengujian kami, bahkan jika antarmuka menawarkan opsi yang lebih sedikit. Dan hei: tidak ada iklan jelek di versi Store, jadi itu plus.
