編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」

Skypeのビデオチャット機能にコード実行の脆弱性

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎

2008-01-21 15:06

 セキュリティ研究者のAviv Raff氏は、Skypeに攻撃者がユーザーのPCのコントロールを可能にするセキュリティホールが存在することを発見した。

 同氏のブログでは、次のように説明されている。

 Skypeはアプリケーション内部でInternet Explorerのウェブコントロール機能を使って内部および外部のHTMLを処理している。このような処理が行われている例としては、「送金」ダイアログや「チャットにビデオを追加」ダイアログがある。

 最近、私はSkypeがこのウェブコントロールをローカルゾーンで実行していることを発見した。より問題が大きかったのは、AOLのAIMのチャットメッセージウィンドウの場合と同じように、SkypeがHTMLページをロックされていないローカルゾーンのモードで実行していることだ。

 これは、、もしそれらのページにスクリプトを挿入できれば、ユーザーのマシン上でコードを実行することが可能だと言うことだ。

 これを検証する簡単な方法は、最新のバージョンのSkypeを開き、チャットにビデオを追加し、検索ボックスで「calc test」と入力してみることだ。これで、Windowsの電卓を立ち上げることができる。この概念実証テストは他のWindowsプログラムにも適用できる。Raff氏はビデオでこのセキュリティホールについて説明している。

 実際に自分でも実行してみると、次のようになった。

SkypeからWindowsの電卓を実行

 この脆弱性を使って他のアプリケーションを実行し、攻撃者に便利なことをやらせる方法を想像することができるだろう。

 このセキュリティホールはまだ修正されていないため、ビデオチャット機能は使わない方がいい。

 Ryan Naraine氏のブログより

 [追加情報] その後、Skypeは悪用可能だったDailymotion検索機能を無効にした。ブログ記事の中で、Skypeは次のように述べている。

 セキュリティ研究者が概念実証テストを提示して実証されていたこの問題は、実際に攻撃者が利用される前に無効化されたため、Skypeユーザーに影響があったとは考えにくい。Skypeは、公式な修正が行われるまで一時的にユーザーがDailymotionのギャラリーから動画を追加できる機能を停止している。また、Dailymotionは同社のウェブサイトでこの脆弱性について説明している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]