スカイプ、「重大」レベルの脆弱性を修正

文:Peter Judge(ZDNet.co.uk) 翻訳校正:編集部2007年12月10日 10時35分

 Skype Technologiesは、Windows用「Skype」の最新バージョンで見つかった、特殊なウェブサイトから悪意のあるコードをPCにダウンロードして実行するおそれのある重大なセキュリティホールを修正した。

 今回見つかった脆弱性は、アドレス処理のためのURIハンドラ「Skype4COM」に存在する。短い文字列を処理する際にエラーが発生し、それによりメモリ違反が発生してコードがメモリに書き込まれるというもの。

 セキュリティサイトのHeise Securityは、「Skypeはユーザーに全く知らせることなく、重大なセキュリティホールを再度修正した」とするコメントを掲載した。

 古いバージョンのSkypeを利用している場合、最新バージョン3.6をダウンロードする必要がある。

 セキュリティ調査会社のSecuniaは、今回確認された脆弱性を5段階評価で上から3番目の「重大」に設定し、使用しているPCが被害にあう可能性があるかどうかを判断するSoftware Inspectorを配布している。

 一方、Skypeは、脆弱性報告への対応を怠っているとして、ユーザーから非難を浴びてもいる。

 ZDNet.co.ukのメンバーであるソフトウェアプログラマーのJamie Watson氏は現地時間12月6日、自身のブログ上で、1秒間に1万回のページフォルトが発生したとする、Skypeフォーラムに掲載されたあるユーザーのコメントを紹介している。

 同氏はSkypeフォーラム上のコメントを引用する形で、この約2カ月の間、この程度のページフォルトはSkypeの設計上発生すると主張してきたSkype Technologiesの姿勢について述べている。しかし、同社はついにSkypeの開発を担当したプログラマーが、デバッグ用に記述したスレッドを削除し忘れたことがこの問題の原因であることを認めた模様だ。

 SkypeはWatson氏のブログ上での発言について、この記事の執筆段階ではコメントを発表していない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]