Skypeと動画共有サイトのDailymotionに脆弱性が存在し、悪用されると任意のコードを実行される恐れがある。
インターネット電話ソフトのSkypeに、任意のコード実行につながるクロスゾーンスクリプティングの脆弱性が見つかったとして、同社が1月18日、サイトで情報を公開した。
Skypeの告知によると、Skypeには動画共有サイトDailymotionの動画をムードやチャットに利用できる機能があるが、ユーザーがSkypeビデオギャラリー経由で細工を施したDailymotionビデオにアクセスすると、任意のコードを実行される恐れがある。
影響を受けるのはWindows版のSkype 3.5/3.6。危険度は共通指標CVSSのベーススコアで最も高い10.0となっている。セキュリティ研究者がコンセプト実証コードも公開した。
これを受けてSkypeは、Dailymotionギャラリーからビデオを追加できる機能を一時的に無効にする措置を取った。脆弱性を突いた実際の攻撃が起きる前に対処されたため、ユーザーが影響を受けた可能性は低いとしている。
Dailymotionでは現在、サイトの脆弱性を修正中だという。
Copyright © ITmedia, Inc. All Rights Reserved.