セキュリティ研究者のAviv Raff氏は、Skypeに攻撃者がユーザーのPCのコントロールを可能にするセキュリティホールが存在することを発見した。
Skypeはアプリケーション内部でInternet Explorerのウェブコントロール機能を使って内部および外部のHTMLを処理している。このような処理が行われている例としては、「送金」ダイアログや「チャットにビデオを追加」ダイアログがある。
最近、私はSkypeがこのウェブコントロールをローカルゾーンで実行していることを発見した。より問題が大きかったのは、AOLのAIMのチャットメッセージウィンドウの場合と同じように、SkypeがHTMLページをロックされていないローカルゾーンのモードで実行していることだ。
これは、、もしそれらのページにスクリプトを挿入できれば、ユーザーのマシン上でコードを実行することが可能だと言うことだ。
これを検証する簡単な方法は、最新のバージョンのSkypeを開き、チャットにビデオを追加し、検索ボックスで「calc test」と入力してみることだ。これで、Windowsの電卓を立ち上げることができる。この概念実証テストは他のWindowsプログラムにも適用できる。Raff氏はビデオでこのセキュリティホールについて説明している。
実際に自分でも実行してみると、次のようになった。
この脆弱性を使って他のアプリケーションを実行し、攻撃者に便利なことをやらせる方法を想像することができるだろう。
このセキュリティホールはまだ修正されていないため、ビデオチャット機能は使わない方がいい。
[追加情報] その後、Skypeは悪用可能だったDailymotion検索機能を無効にした。ブログ記事の中で、Skypeは次のように述べている。セキュリティ研究者が概念実証テストを提示して実証されていたこの問題は、実際に攻撃者が利用される前に無効化されたため、Skypeユーザーに影響があったとは考えにくい。Skypeは、公式な修正が行われるまで一時的にユーザーがDailymotionのギャラリーから動画を追加できる機能を停止している。また、Dailymotionは同社のウェブサイトでこの脆弱性について説明している。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
