動画利用の脆弱性、Skypeが修正パッチ公開

スクリプト実行につながるSkypeの深刻な脆弱性が修正された。

[ITmedia]

　インターネット電話ソフトのSkypeは2月5日、動画利用に関して指摘されていた脆弱性の修正パッチを公開した。

　この脆弱性は1月に発覚し、Skypeがサイトで情報を公開して注意を呼びかけていたもの。Windows版のSkypeが影響を受ける。

　アドバイザリーによると、SkypeではInternet Explorer（IE）WebコントロールをHTMLコンテンツの処理に利用し、ムードやチャットに動画を利用できる機能を提供しているが、今回見つかった脆弱性を悪用すると、ロックされていないローカルゾーンでスクリプトを実行できるようになる。コンセプト実証コードも公開されていた。

　攻撃を仕掛けるためには、コンテンツ提供サイトでコード挿入の脆弱性を悪用する必要があるが、動画サイトのDailymotion、Metacafe ProおよびSkypeが運営するSkypeFindでそうした脆弱性が見つかった。各サイトとも問題は修正済みだという。

　Skyapeはバージョン3.6.*.248でこの問題に対処している。