2005年10月26日(水) 10時52分
IP電話ソフト「Skype」に複数の脆弱性、リスクは「高」(ITmediaエンタープライズ)
P2P技術を活用した無料のIP電話ソフト「Skype」に、3種類の脆弱性が発見された。悪用されればDoS攻撃を受けたり、リモートからコードを実行される恐れがある。開発元のSkypeではリスクを「高」とし、ユーザーに最新バージョンへアップグレードするよう推奨している。
発見された脆弱性のうち2つは、Windows版のみに影響する。1つは「callto://」および「skype://」形式のURIを処理するハンドラに問題があり、バッファオーバーフローが発生するというもの。もう1つは、電子名刺をやり取りするVcardフォーマットの処理に起因するものだ。いずれも、細工を施した文字列やVcardを読み込むことにより、任意のコードを実行される可能性がある。
これらの脆弱性が存在するのは、Windows版Skypeのバージョン1.1.x.0〜1.4.x.83まで。
残る1つの脆弱性は、Windows版のみならず、Mac OS XやLinux、Pocket PC版にも存在する。Skypeクライアントのネットワークトラフィックの処理機能に境界エラーの問題があるため、細工を施したトラフィックを受け取るとヒープオーバーフローが発生し、Skypeがクラッシュする可能性がある。
脆弱性が存在するのは、Windows版Skypeの1.4.x.83以前、Mac OS X版の1.3.x.16以前、Linux版の1.2.x.17以前、それにPocket PC版の1.1.x.6以前だ。
いずれの脆弱性も、最新バージョン(Skype for Windowsは1.4.0.84)にアップデートすることで問題を回避できる。なおSkypeでは、Mac OS X版はバージョン1.3.0.17以降で、Linux版はバージョン1.2.0.18以降で脆弱性を修正したとしているが、同社のダウンロードページにはまだ公開されていない模様だ(10月25日23時時点)。また、Pocket PC版のパッチはまだ準備ができておらず、用意できしだいアドバイザリをアップデートして告知するという。
これに先立つ10月18日には、Skypeの最新版を装ってPCにもぐりこもうとするトロイの木馬「IRCbot」の亜種が報告されている。
http://www.itmedia.co.jp/enterprise/
(ITmediaエンタープライズ) - 10月26日10時52分更新
http://headlines.yahoo.co.jp/hl?a=20051026-00000014-zdn_ep-sci