ITmedia NEWS > 速報 >

IP電話ソフト「Skype」に複数の脆弱性、リスクは「高」

» 2005年10月25日 23時25分 公開
[ITmedia]

 P2P技術を活用した無料のIP電話ソフト「Skype」に、3種類の脆弱性が発見された。悪用されればDoS攻撃を受けたり、リモートからコードを実行される恐れがある。開発元のSkypeではリスクを「高」とし、ユーザーに最新バージョンへアップグレードするよう推奨している。

 発見された脆弱性のうち2つは、Windows版のみに影響する。1つは「callto://」および「skype://」形式のURIを処理するハンドラに問題があり、バッファオーバーフローが発生するというもの。もう1つは、電子名刺をやり取りするVcardフォーマットの処理に起因するものだ。いずれも、細工を施した文字列やVcardを読み込むことにより、任意のコードを実行される可能性がある。

 これらの脆弱性が存在するのは、Windows版Skypeのバージョン1.1.x.0〜1.4.x.83まで。

 残る1つの脆弱性は、Windows版のみならず、Mac OS XやLinux、Pocket PC版にも存在する。Skypeクライアントのネットワークトラフィックの処理機能に境界エラーの問題があるため、細工を施したトラフィックを受け取るとヒープオーバーフローが発生し、Skypeがクラッシュする可能性がある。

 脆弱性が存在するのは、Windows版Skypeの1.4.x.83以前、Mac OS X版の1.3.x.16以前、Linux版の1.2.x.17以前、それにPocket PC版の1.1.x.6以前だ。

 いずれの脆弱性も、最新バージョン(Skype for Windowsは1.4.0.84)にアップデートすることで問題を回避できる。なおSkypeでは、Mac OS X版はバージョン1.3.0.17以降で、Linux版はバージョン1.2.0.18以降で脆弱性を修正したとしているが、同社のダウンロードページにはまだ公開されていない模様だ(10月25日23時時点)。また、Pocket PC版のパッチはまだ準備ができておらず、用意できしだいアドバイザリをアップデートして告知するという。

 これに先立つ10月18日には、Skypeの最新版を装ってPCにもぐりこもうとするトロイの木馬「IRCbot」の亜種が報告されている

Copyright © ITmedia, Inc. All Rights Reserved.