Skype很容易受到恶意攻击:切换到Windows Store版本

如果桌面版Skype在你的Windows电脑上，你很容易受到一个非常恶劣的攻击。Skype的更新工具有一个缺陷，可以让攻击者完全控制你的系统，微软说，短期内不会有解决方案。

幸运的是，你可以完全避免这个问题，用微软商店里的“桌面版”Skype来代替。不过，微软自己的软件在这一基础上存在弱点，这让微软很尴尬，而这个问题的漏洞在于，微软已经多次警告过其他开发者。

下面是这个漏洞的工作原理，以及如何确保你使用的是安全的Windows Store版本的Skype。

Skype有什么问题？

更新软件是为了保证你的安全，但讽刺的是，在Skype的案例中，更新是问题所在。这是因为Skype本身的缺陷并不在于Skype本身，而是Skype用于查找和安装更新的工具。这一更新工具很容易被DLL劫持，研究人员Stefan Kanthak概述：

这个可执行文件很容易被DLL劫持：它从它的应用程序目录%SystemRoot%Temp中装载至少是UXTheme.dll，而不是Windows的系统目录。一个没有特权的（本地）用户，能够将UXTheme.dll或任何其他由易受攻击的可执行文件加载到%SystemRoot%临时的dll中，将特权升级到系统帐户。

基本上，Skype在临时文件夹中运行dll，用户可以在没有管理员权限的情况下访问该文件夹。这使得坏的角色切换到dll并获得系统级别的控制对您的计算机来说是微不足道的。微软特别警告开发者要避免这种漏洞，但微软的Skype团队似乎已经错过了这一特别的备忘录。

情况变得更糟。微软对Kanthak说，他们“能够重现这个问题”，但不会发布补丁来解决这个问题。相反，微软计划在Skype的下一个主要版本中解决这个问题——目前还不清楚这将会是什么时候。

那是。不太理想。谢天谢地，还有另一种选择。

解决方案：使用Windows Store版本

微软为Windows提供了两种版本的Skype:“桌面版”，这一版本已经存在了很长时间，而通用Windows平台（UWP）版本，你可以从微软商店应用程序中下载。只有桌面版才容易受到这种特殊的攻击，因为只有桌面版本使用了它自己的更新工具。

微软一直在推动用户使用微软商店版本的Skype:例如，Skype下载页面将用户引导至商店。但是许多用户仍然在他们的系统上安装了桌面版本，他们应该卸载这个版本，并且只使用商店版本，如果他们想要安全的话。

你怎么知道你是哪个版本的？最简单的方法是在开始菜单中搜索“Skype”。如果你在Skype的名字下面看到“值得信赖的微软商店应用”的字样，你可能已经被覆盖了。

这两款应用看起来也完全不同。下面是“桌面”版本：

如果你的Skype是这样的，你很容易受到攻击。你应该卸载Skype，然后下载微软商店的版本。

以下是微软商店的版本：

如果你的Skype是这样的，那么你是安全的：这个版本的更新是用微软商店处理的，所以这个漏洞是不相关的。

不幸的是，微软不仅修补了这个漏洞，而且至少有一个工作版本的Skype被锁定了。虽然微软商店版的界面和功能将是一种调整，但在我们的测试中，即使界面提供的选项更少，但在我们的测试中，呼叫和聊天功能也能正常工作。在商店的版本里没有丑陋的广告，所以这是一个加号。