Oligur

• ニュース

httpvhd://www.youtube.com/watch?v=Ou_Iir2SklI&feature=player_embedded

iPhone または iPod Touch で Skype を使用している場合は注意してください。バージョン 3.0.1 で新しいクロスサイト スクリプティングの脆弱性が発見され、チャット メッセージを送信するだけで攻撃者が悪意のある JavaScript コードを実行できるようになります。

幸いなことに、Skype はこの問題を認識しており、すでに脆弱性を修正するアップデートを展開しています。

悪いニュースは？この脆弱性は、チャットメッセージを表示するだけで発生するため、Skypeでインスタントメッセージを送信した人が簡単にあなたの個人情報を盗み取ってしまう可能性があるということです。

この脆弱性を発見したセキュリティ研究者のフィル・パービアンス氏は次のように述べている。

任意のJavaScriptコードを実行するのは問題ですが、SkypeはSkypeに内蔵されているWebKitブラウザで使用されるURIスキームも不適切に定義していることがわかりました。通常、このスキームは「about:blank」や「skype-randomtoken」のような形式に設定されますが、今回のケースでは実際には「file://」に設定されています。これにより、攻撃者はユーザーのファイルシステムにアクセスでき、アプリケーション自体がアクセスできるあらゆるファイルにアクセスできるようになります。

ファイルシステムへのアクセスは、Appleが実装したiOSアプリケーションサンドボックスによって部分的に軽減されており、攻撃者による特定の機密ファイルへのアクセスを阻止しています。しかし、すべてのiOSアプリケーションはユーザーのアドレス帳にアクセスでき、Skypeも例外ではありません。

これは、典型的なエクスプロイトのタイムラインの良い例のように思えます。危険なエクスプロイトが発見され、企業に報告されますが、エクスプロイトの発見者が公表するまで企業は何も対応しません。公表された時点で、突然、24 時間以内にパッチを発行できるようになります。

とにかく、今後数日間はiOS版Skypeをご利用の際はご注意ください。Skypeがこの件をすぐに修正してくれることを願っています。