スカイプ、「重大」レベルの脆弱性を修正

　Skype Technologiesは、Windows用「Skype」の最新バージョンで見つかった、特殊なウェブサイトから悪意のあるコードをPCにダウンロードして実行するおそれのある重大なセキュリティホールを修正した。

　今回見つかった脆弱性は、アドレス処理のためのURIハンドラ「Skype4COM」に存在する。短い文字列を処理する際にエラーが発生し、それによりメモリ違反が発生してコードがメモリに書き込まれるというもの。

　セキュリティサイトのHeise Securityは、「Skypeはユーザーに全く知らせることなく、重大なセキュリティホールを再度修正した」とするコメントを掲載した。

　古いバージョンのSkypeを利用している場合、最新バージョン3.6をダウンロードする必要がある。

　セキュリティ調査会社のSecuniaは、今回確認された脆弱性を5段階評価で上から3番目の「重大」に設定し、使用しているPCが被害にあう可能性があるかどうかを判断するSoftware Inspectorを配布している。

　一方、Skypeは、脆弱性報告への対応を怠っているとして、ユーザーから非難を浴びてもいる。

　ZDNet.co.ukのメンバーであるソフトウェアプログラマーのJamie Watson氏は現地時間12月6日、自身のブログ上で、1秒間に1万回のページフォルトが発生したとする、Skypeフォーラムに掲載されたあるユーザーのコメントを紹介している。

　同氏はSkypeフォーラム上のコメントを引用する形で、この約2カ月の間、この程度のページフォルトはSkypeの設計上発生すると主張してきたSkype Technologiesの姿勢について述べている。しかし、同社はついにSkypeの開発を担当したプログラマーが、デバッグ用に記述したスレッドを削除し忘れたことがこの問題の原因であることを認めた模様だ。

　SkypeはWatson氏のブログ上での発言について、この記事の執筆段階ではコメントを発表していない。