猫800匹でSkype for Businessがフリーズ 絵文字処理の脆弱性に関する詳細、セキュリティ企業が公表

Microsoftが11月の月例セキュリティ更新プログラムで修正した「Skype for Business」の脆弱性について、セキュリティ企業が猫の絵文字を使って実証した。

» 2018年11月20日 10時15分 公開
[鈴木聖子ITmedia]

 米Microsoftが2018年11月の月例セキュリティ更新プログラムで修正した「Skype for Business」の脆弱性について、この脆弱性を発見したドイツのセキュリティ企業SEC Consultが、ブログで詳細を公表した。

 Skype for Businessのサービス妨害(DoS)の脆弱性(CVE-2018-8546)は、攻撃者が狙った相手に大量の絵文字を送信すると、相手のSkype for Businessクライアントが反応を停止してしまうというもの。

photo Skype for Businessで狙った相手に大量の絵文字を送信すると、クライアントが反応を停止してしまうという脆弱性があった(出典:SEC Consult)

 SEC Consultは猫の絵文字を使ってこの問題を実証した。絵文字100個でアプリケーションの動作が遅くなり始め、800個を同時に受け取ると、Skype for Businessクライアントが数秒間、反応を停止する。さらに絵文字を送り続けると、攻撃が止むまで同クライアントが使えない状態が続くという。

 Microsoftのセキュリティ情報によると、この問題はSkype for Business 2016のほか、Lync 2013、Office 2019、Office 365 ProPlusが影響を受ける。更新プログラムでは、絵文字の処理方法を修正することによってこの問題に対処した。最大深刻度は「低」と位置付けている。

 SEC Consultでは、LyncやSkype for Businessは世界中の企業によってコールセンターや顧客サポートなどの業務に使われていると指摘し、企業のITやセキュリティ担当者に対し、継続的なパッチ管理を行ってリスクを低減するよう促している。

関連キーワード

Skype | 絵文字 | 脆弱性 | | Microsoft


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ