インターネット電話ソフトのSkypeは2月5日、動画利用に関して指摘されていた脆弱性の修正パッチを公開した。
この脆弱性は1月に発覚し、Skypeがサイトで情報を公開して注意を呼びかけていたもの。Windows版のSkypeが影響を受ける。
アドバイザリーによると、SkypeではInternet Explorer(IE)WebコントロールをHTMLコンテンツの処理に利用し、ムードやチャットに動画を利用できる機能を提供しているが、今回見つかった脆弱性を悪用すると、ロックされていないローカルゾーンでスクリプトを実行できるようになる。コンセプト実証コードも公開されていた。
攻撃を仕掛けるためには、コンテンツ提供サイトでコード挿入の脆弱性を悪用する必要があるが、動画サイトのDailymotion、Metacafe ProおよびSkypeが運営するSkypeFindでそうした脆弱性が見つかった。各サイトとも問題は修正済みだという。
Skyapeはバージョン3.6.*.248でこの問題に対処している。
Copyright © ITmedia, Inc. All Rights Reserved.