Skypeにセキュリティ・ホール
危険度は最も高い10.0だとか
- Skypeに深刻な脆弱性、動画共有サイト使い悪用の恐れ - ITmedia エンタープライズ (2008年01月21日 06時00分)
影響を受けるのはWindows版のSkype 3.5/3.6。危険度は共通指標CVSSのベーススコアで最も高い10.0となっている。セキュリティ研究者がコンセプト実証コードも公開した。
PayPal、チャットでのビデオ使用にIEを使うことによる危険
- 「Skype」にセキュリティ・ホール,危険な状態でWebページをレンダリング:ITpro (2008/01/21)
セキュリティ研究者のAviv Raff氏は協定世界時2008年1月17日,IP電話ソフトウエア「Skype」に危険な状態でWebページをレンダリングしてしまうセキュリティ・ホールが存在すると警告した。
Skypeがインターネット上のWebページをInternet Explorer(IE)の「インターネット」ゾーンでなく「ローカルイントラネット」ゾーンにあるものとして処理することから,Raff氏はこの攻撃手法を「クロスゾーン・スクリプティング」と呼ぶ。Skypeは「Send money via PayPal」や「Add video to chat」といったダイアログ・ボックスの表示にIEを利用するが,その際セキュリティ・レベルが「中低」のローカルイントラネット・ゾーンとしてWeb ページをレンダリングするため,悪質なスクリプトで攻撃される恐れがある。
ZDNetのLarry Dignanが検証する方法を載せている
- Skypeのビデオチャット機能にコード実行の脆弱性:スペシャル - ZDNet Japan (2008/01/21 15:06) (原記事 (January 18th, 2008 by Larry Dignan @ 3:21 am))
これを検証する簡単な方法は、最新のバージョンのSkypeを開き、チャットにビデオを追加し、検索ボックスで「calc test」と入力してみることだ。これで、Windowsの電卓を立ち上げることができる。この概念実証テストは他のWindowsプログラムにも適用できる。Raff氏はビデオでこのセキュリティホールについて説明している。
スカイプを開き放しにしていると危険だというけれど、スカイプはそういうものだからなかなか難しい
- Update: Skype plugs critical bug with temp move (January 18, 2008)
Early on Thursday, noted Israeli researcher Aviv Raff had spelled out what he called a "cross-zone scripting vulnerability" in Skype that could be leveraged by attackers armed with malicious video files. The way in, Raff explained, was through a security door that Skype left wide open.
火曜日にイスラエルの研究者アヴィヴ・ラフがいわゆる「クロスゾーン・スクリプティング脆弱性」がスカイプに発見され、悪意のあるビデオ・ファイルを使う攻撃者につけ込まれるおそれがあると述べた。ラフの説明によると、その侵入路はスカイプの詳細画面を開いたままにしておくと生じるセキュリティ・ドアからだという。