Jika versi desktop Skype ada di komputer Windows Anda, Anda rentan terhadap eksploitasi yang sangat buruk. Cacat pada alat pembaruan Skype dapat memberi penyerang kendali penuh atas sistem Anda, dan Microsoft mengatakan tidak akan ada perbaikan dalam waktu dekat.
Untungnya, Anda dapat menghindari masalah sepenuhnya dengan mengganti versi “desktop” Skype dengan yang tersedia dari Microsoft Store. Namun, itu memalukan bagi perangkat lunak Microsoft sendiri untuk memiliki kelemahan mendasar ini, dan eksploitasi yang dimaksud adalah salah satu Redmond telah memperingatkan pengembang lain tentang beberapa kali.
Inilah cara kerja eksploit ini, dan bagaimana Anda dapat memastikan bahwa Anda menggunakan Skype versi Windows Store yang aman.
Ada Apa Dengan Skype?
Memperbarui perangkat lunak seharusnya membuat Anda tetap aman, tetapi ironisnya dalam kasus Skype, pembaruan adalah masalahnya. Itu karena kelemahan di sini bukan pada Skype itu sendiri, melainkan alat yang digunakan Skype untuk menemukan dan menginstal pembaruan. Alat pembaruan ini rentan terhadap pembajakan DLL, seperti yang diuraikan oleh peneliti Stefan Kanthak :
Eksekusi ini rentan terhadap pembajakan DLL: memuat setidaknya UXTheme.dll dari direktori aplikasinya %SystemRoot%Temp alih-alih dari direktori sistem Windows. Pengguna (lokal) yang tidak memiliki hak yang dapat menempatkan UXTheme.dll atau DLL lainnya yang dimuat oleh executable yang rentan di %SystemRoot%Temp memperoleh peningkatan hak istimewa ke akun SISTEM.
Pada dasarnya, Skype menjalankan DLL dari folder Temp, yang dapat diakses pengguna tanpa hak administrator. Ini membuatnya sepele bagi aktor jahat untuk mematikan DLL dan mendapatkan kontrol tingkat sistem atas komputer Anda. Ini adalah jenis kerentanan yang secara khusus diperingatkan oleh Microsoft untuk dihindari oleh pengembang, tetapi tim Skype Microsoft tampaknya telah melewatkan memo tersebut.
Iklan
Dan itu menjadi lebih buruk. Microsoft mengatakan kepada Kanthak bahwa mereka “mampu mereproduksi masalah,” tetapi tidak akan ada patch yang dikeluarkan untuk menyelesaikan masalah. Sebaliknya, Microsoft berencana untuk memecahkan masalah selama rilis besar berikutnya dari Skype—tidak jelas kapan itu akan terjadi.
Itu…tidak ideal. Untungnya, ada alternatif.
Solusinya: Gunakan Versi Windows Store
Microsoft menawarkan dua versi Skype untuk Windows: versi “Desktop”, yang telah ada sejak lama, dan versi Universal Windows Platform (UWP), yang dapat Anda unduh dari aplikasi Microsoft Store yang dibundel dengan Windows. Hanya versi desktop yang rentan terhadap eksploitasi khusus ini, karena hanya versi desktop yang menggunakan alat pembaruannya sendiri.
Microsoft telah mendorong pengguna ke versi Microsoft Store Skype untuk sementara waktu: halaman unduhan Skype mengarahkan pengguna ke Store, misalnya. Tetapi banyak pengguna masih memiliki versi desktop di sistem mereka, dan mereka harus menghapusnya dan hanya menggunakan versi Store jika mereka ingin tetap aman dari eksploitasi ini.
Bagaimana Anda bisa tahu versi mana yang Anda miliki? Cara paling sederhana adalah dengan mencari “Skype” di menu mulai. Jika Anda melihat kata-kata “Kegunaan Toko Microsoft Tepercaya” di bawah nama Skype, Anda mungkin tertutup.
Kedua aplikasi juga terlihat sangat berbeda. Inilah versi “desktop”:
Jika Skype Anda terlihat seperti ini, Anda rentan terhadap eksploitasi. Anda harus mencopot pemasangan Skype, lalu mengunduh versi Microsoft Store.
Inilah versi Microsoft Store:
Iklan
Jika Skype Anda terlihat seperti ini, Anda aman: pembaruan untuk versi ini ditangani menggunakan Microsoft Store, jadi kerentanannya tidak relevan.
Sangat disayangkan bahwa Microsoft tidak hanya akan menambal kerentanan ini, tetapi setidaknya ada versi kerja Skype yang terkunci. Dan sementara antarmuka dan fitur versi Microsoft Store akan menjadi penyesuaian, hal-hal seperti panggilan dan obrolan berfungsi dengan baik dalam pengujian kita, bahkan jika antarmuka menawarkan lebih sedikit opsi. Dan hei: tidak ada iklan jelek di versi Store, jadi itu nilai plusnya.