Skype、クラッシュ誘発の脆弱性に対処

[ITmedia]

　SkypeのIP電話ソフトにヒープオーバーフローの脆弱性が見つかり、10月25日、この問題を修正したアップデート版がリリースされた。悪用されるとリモートからSkypeをクラッシュさせられる恐れがあるという。

　Skypeのアドバイザリーによれば、特定のネットワーキングルーティンで境界チェックの際にエラーが発生し、攻撃者が細工を施したネットワークトラフィックをSkypeクライアントネットワークに送りつけると、クライアントのヒープの一部が上書きされてしまう恐れがある。

　これにより、内部エラーが起きてSkypeが実行できなくなる可能性がある。ただ、データが書き込まれているアドレスを攻撃者が制御することはできないという。Skypeの調べでも、Skypeクライアントをクラッシュさせることはできたが、特定の命令を実行させることまではできなかったとしている。

　この問題はWindows、Mac OS X、Linux、Pocket PCの各プラットフォーム向けSkypeに影響する。SkypeではPocket PCを除いた各プラットフォーム向けの修正アップデートを公開。Pocket PC版については提供を開始した時点でサイトに情報を掲載するとしている。