Skype Technologiesは、Windows用「Skype」の最新バージョンで見つかった、特殊なウェブサイトから悪意のあるコードをPCにダウンロードして実行するおそれのある重大なセキュリティホールを修正した。
今回見つかった脆弱性は、アドレス処理のためのURIハンドラ「Skype4COM」に存在する。短い文字列を処理する際にエラーが発生し、それによりメモリ違反が発生してコードがメモリに書き込まれるというもの。
セキュリティサイトのHeise Securityは、「Skypeはユーザーに全く知らせることなく、重大なセキュリティホールを再度修正した」とするコメントを掲載した。
古いバージョンのSkypeを利用している場合、最新バージョン3.6をダウンロードする必要がある。
セキュリティ調査会社のSecuniaは、今回確認された脆弱性を5段階評価で上から3番目の「重大」に設定し、使用しているPCが被害にあう可能性があるかどうかを判断するSoftware Inspectorを配布している。
一方、Skypeは、脆弱性報告への対応を怠っているとして、ユーザーから非難を浴びてもいる。
ZDNet.co.ukのメンバーであるソフトウェアプログラマーのJamie Watson氏は現地時間12月6日、自身のブログ上で、1秒間に1万回のページフォルトが発生したとする、Skypeフォーラムに掲載されたあるユーザーのコメントを紹介している。
同氏はSkypeフォーラム上のコメントを引用する形で、この約2カ月の間、この程度のページフォルトはSkypeの設計上発生すると主張してきたSkype Technologiesの姿勢について述べている。しかし、同社はついにSkypeの開発を担当したプログラマーが、デバッグ用に記述したスレッドを削除し忘れたことがこの問題の原因であることを認めた模様だ。
SkypeはWatson氏のブログ上での発言について、この記事の執筆段階ではコメントを発表していない。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力