Internet Watch logo
記事検索
最新ニュース

P2P電話ソフト「Skype」に“callto:”URIハンドラの脆弱性


 デンマークのセキュリティベンダーであるSecuniaは15日、P2P電話ソフト「Skype」のWindows版に、ユーザーのシステムにリモートからアクセスできてしまう脆弱性があることを公表した。Secuniaでは危険度を、5段階中の上から2番目にあたる“Highly critical”と評価している。ただし、12日にリリースされたバージョン1.0.0.100で修正済みだ。

 この脆弱性は同ソフトを開発したSkype自身によって報告されたもので、コマンドラインの引数のハンドリングにおける境界エラーが原因。ユーザーを悪意あるWebサイトに誘導し、4,096バイト以上の過度に長い文字列を埋め込んだ“callto:”リンクによって、URIハンドラにスタックベースのバッファオーバーフローを引き起こすことができるという。この攻撃が成功すると、ユーザーのシステムで任意のコードを実行される可能性がある。

 この脆弱性が確認されたバージョンは、Skype for Windows 1.0.x.95~1.0.x.98。1.0.0.100にアップデートすることで解決できる。


関連情報

URL
  Secuniaのセキュリティアドバイザリ(英文)
  http://secunia.com/advisories/13191/
  Skype for Windowsのバージョンアップ履歴(英文)
  http://www.skype.com/products/skype/windows/changelog.html

関連記事
P2P電話「Skype 1.0」発表、22カ国の固定電話に1分2.3円で国際通話可能(2004/07/28)
ライブドア、P2P電話ソフト「Skype」との独占的パートナーシップを締結(2004/10/26)


( 永沢 茂 )
2004/11/16 14:50

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.