Si la versión de escritorio de Skype está en su computadora con Windows, es vulnerable a una hazaña realmente desagradable. Un error en la herramienta de actualización de Skype podría dar a los atacantes el control total de su sistema, y ​​Microsoft dice que no va a haber una solución en el corto plazo.

Afortunadamente, puede evitar el problema completamente al reemplazar la versión de "escritorio" de Skype con el disponible en Microsoft Store. Aún así, es vergonzoso para el propio software de Microsoft tener una debilidad tan fundamental, y el exploit en cuestión es uno del que Redmond ha advertido a otros desarrolladores varias veces.

Esto es lo que funciona, y cómo puedes asegurarte de que estás usando la versión segura de la Tienda Windows de Skype.

¿Qué hay de malo con Skype?

Se supone que la actualización del software te mantiene a salvo, pero irónicamente en el caso de Skype, el problema es la actualización. Eso es porque la falla aquí no está en Skype, sino en la herramienta que Skype usa para encontrar e instalar actualizaciones. Esta herramienta de actualización es vulnerable al hjjacking de DLL, como lo describe el investigador Stefan Kanthak:

Este ejecutable es vulnerable al secuestro de DLL: carga al menos UXTheme.dll desde su directorio de aplicaciones% SystemRoot% Temp en lugar del directorio de sistema de Windows. Un usuario no privilegiado (local) que puede colocar UXTheme.dll o cualquiera de las otras DLL cargadas por el ejecutable vulnerable en% SystemRoot% Temp gana escalada de privilegios a la cuenta de sistema.

Básicamente, Skype ejecuta archivos DLL de Temp carpeta, a la que los usuarios pueden acceder sin derechos de administrador. Esto hace que sea trivial para los malos actores cambiar las DLL y obtener control de nivel de sistema sobre su computadora. Es el tipo de vulnerabilidad que Microsoft advierte específicamente a los desarrolladores que eviten, pero el equipo de Skype de Microsoft parece haber perdido esa nota en particular.

Y empeora. Microsoft le dijo a Kanthak que "pudieron reproducir el problema", pero no emitirán un parche para resolver el problema. En cambio, Microsoft planea resolver el problema durante la próxima versión principal de Skype: no está claro cuándo será.

Eso es ... no es lo ideal. Afortunadamente, hay una alternativa.

La solución: utilice la versión de Windows Store

Microsoft ofrece dos versiones de Skype para Windows: la versión de "escritorio", que ha existido durante mucho tiempo, y la plataforma universal de Windows (UWP) versión, que puede descargar de la aplicación Microsoft Store incluida con Windows. Solo la versión de escritorio es vulnerable a este exploit en particular, porque solo la versión de escritorio usa su propia herramienta de actualización.

Microsoft ha estado presionando a los usuarios a la versión de Microsoft Store de Skype por un tiempo: la página de descarga de Skype dirige a los usuarios a la Tienda , por ejemplo. Pero muchos usuarios todavía tienen la versión de escritorio en sus sistemas, y deben desinstalarla y solo usar la versión de la Tienda si quieren mantenerse a salvo de este exploit.

¿Cómo puede saber qué versión tiene? La forma más simple es buscar "Skype" en el menú de inicio. Si ve las palabras "Trusted Microsoft Store app" debajo del nombre de Skype, probablemente esté cubierto.

Las dos aplicaciones también se ven completamente diferentes. Aquí está la versión de "escritorio":

Si su Skype se ve así, es vulnerable al exploit. Debe desinstalar Skype y luego descargar la versión de Microsoft Store.

Aquí está la versión de Microsoft Store:

Si su Skype se ve así, está seguro: las actualizaciones de esta versión se manejan usando Microsoft Store, por lo que la vulnerabilidad es no es relevante.

Es lamentable que Microsoft no solo solucione el parche de esta vulnerabilidad, sino que al menos haya una versión funcional de Skype bloqueada. Y aunque la interfaz y las características de la versión de Microsoft Store serán un ajuste, cosas como las llamadas y el chat funcionan bien en nuestras pruebas, incluso si la interfaz ofrece menos opciones. Y oye: no hay anuncios desagradables en la versión de la tienda, así que eso es una ventaja.

Cómo usar de forma segura una sierra de mesa, la herramienta eléctrica más temible de todos

Si ha decidido actualizar su juego de herramientas eléctricas y obtener una sierra de mesa, hay varias cosas que debería sepa antes de encenderlo y deslice sus primeros pedazos de madera. RELACIONADO: Las herramientas básicas que cada DIYer debería tener No me malinterprete; todas las herramientas eléctricas deben manejarse de forma adecuada y segura, pero ninguna más que la sierra de mesa omnipotente.

(how-top)

Cómo cambiar usuarios al instante con TouchID en macOS

¿Alguna vez deseó poder cambiar de usuario al instante presionando un botón? Gracias a TouchID en la MacBook Pro, todo lo que se necesita son las huellas dactilares correctas. Quizás compartas una MacBook. Tal vez use dos cuentas para seguir trabajando y jugar por separado. Cualquiera que sea el motivo, cambiar cuentas generalmente significa hacer clic en el ícono Cambio rápido de usuario, luego seleccionar una cuenta para cambiar y luego escribir su contraseña.

(how-top)