如果桌面版的Skype在你的Windows电脑上，你很容易受到一个非常恶劣的攻击。Skype更新工具中的一个缺陷可能会让攻击者完全控制你的系统，微软表示不会很快修复。

令人高兴的是，您可以通过将Skype的“桌面”版本替换为Microsoft应用商店提供的版本来完全避免这个问题。尽管如此，微软自己的软件在这一点上仍然存在弱点，这让人很尴尬，而且这个漏洞是雷蒙德多次警告其他开发者的。

以下是此漏洞的工作原理，以及如何确保使用安全的Windows应用商店版Skype。

skype怎么了？

更新软件本该保证你的安全，但讽刺的是，在Skype的情况下，更新是个问题。这是因为这里的漏洞不是Skype本身的，而是Skype用来查找和安装更新的工具。正如研究人员Stefan Kanthak概述的那样，此更新工具易受DLL攻击：

This executable is vulnerable to DLL hijacking: it loads at least UXTheme.dll from its application directory %SystemRoot%Temp instead from Windows’ system directory. An unprivileged (local) user who is able to place UXTheme.dll or any of the other DLLs loaded by the vulnerable executable in %SystemRoot%Temp gains escalation of privilege to the SYSTEM account.

基本上，Skype从Temp文件夹运行DLL，用户无需管理员权限即可访问该文件夹。这使得坏角色关闭DLL并获得对计算机的系统级控制变得微不足道。这是微软特别警告开发人员要避免的漏洞，但微软的Skype团队似乎没有注意到这一点。

更糟的是。微软告诉Kanthak他们“能够重现这个问题”，但是不会发布解决这个问题的补丁。相反，微软计划在Skype的下一个主要版本中解决这个问题，现在还不清楚什么时候可以。

那…不太理想。谢天谢地，还有一个选择。

解决方案：使用windows应用商店版本

微软提供了两个版本的skypeforwindows：“桌面”版本和通用Windows平台（universalwindows Platform，UWP）版本，可以从与Windows捆绑的微软商店应用程序下载。只有桌面版本易受此攻击，因为只有桌面版本使用自己的更新工具。

微软把用户推到微软商店版的Skype已经有一段时间了：例如，Skype下载页面将用户引导到商店。但是，许多用户的系统上仍然有桌面版本，他们应该卸载该版本，并且只有在他们希望免受此攻击时才使用商店版本。

你怎么知道你有哪个版本？最简单的方法是在“开始”菜单中搜索“Skype”。如果你在Skype的名字下面看到“可信的微软商店应用程序”这个词，你可能已经被覆盖了。

这两款应用看起来也完全不同。以下是“桌面”版本：

如果你的Skype看起来像这样，你很容易受到攻击。您应该卸载Skype，然后下载Microsoft应用商店版本。

以下是Microsoft应用商店版本：

如果您的Skype看起来像这样，您就安全了：此版本的更新是使用Microsoft应用商店处理的，因此该漏洞与此无关。

不幸的是，微软不会仅仅修补这个漏洞，但至少有一个Skype的工作版本被锁定。虽然微软商店版的界面和功能将是一个调整，但在我们的测试中，像呼叫和聊天这样的功能工作得很好，即使界面提供的选项较少。嘿：商店版没有丑陋的广告，所以这是一个加分。