パッチ情報公開の「不手際」でSkypeが謝罪

Skypeは11月に脆弱性を修正したが、「意図しないコミュニケーション上の不手際」があった。

[ITmedia]

　IP電話ソフトSkypeに脆弱性が見つかった問題をめぐり、Skypeは12月10日付のブログで、パッチを公開した時点でユーザーに情報を公開しなかった不手際を認め、謝罪した。

　Skypeによると、セキュリティ企業TippingPointのZero Day Initiativeから11月初旬に連絡があり、ユーザーが悪質なWebサイトを閲覧するとリモートで任意のコードを実行される脆弱性があることを知らされた。

　脆弱性はSkypeのskype4com URIハンドラコンポーネントに存在し、悪用されるとWindowsアカウントのユーザー権限で任意のコードを実行される恐れがある。

　Skypeは、Windows版のSkype 3.6でこの対処に対処した。11月15日の時点でアップデート／インストールされたWindows版Skypeは、すべて問題が修正されているという。

　しかし、この段階で「意図しないコミュニケーション上の不手際」があり、情報を一般に公開しなかった。Skypeは「今となっては謝罪するしかない」とブログで遺憾を表明している。