インターネットに掲載された詳細によると、セキュリティコンサルタントが、クロスサイトスクリプティングの脆弱性をSkypeに報告した。この脆弱性を利用すると、他人のアカウントのパスワードが変更される可能性があるという。
Skypeは来週には修正プログラムをリリースする予定だと述べた。
ベルリンを拠点とするコンサルタント、レヴェント・カヤン氏は水曜日に自身のブログに欠陥の詳細を掲載し、翌日にはスカイプに通知した。同氏は金曜日、まだ返答がないと述べた。
問題は、携帯電話番号を入力できるフィールドにあります。Kayan氏によると、悪意のあるユーザーがプロフィールの携帯電話番号入力欄にJavaScriptを挿入できる可能性があるとのことです。
連絡先の1人がオンラインになると、悪意のあるユーザーのプロフィールが更新され、もう1人の連絡先がログインするとJavaScriptが実行されます。Kayan氏は、相手のセッションが乗っ取られ、その人のコンピュータを制御できるようになる可能性があると指摘しています。攻撃者は、誰かのアカウントのパスワードを変更することも可能です。
攻撃者と被害者がSkypeで友達関係にある必要があるなど、いくつかの緩和要因があります。また、被害者がログインしても攻撃がすぐに実行されない可能性もあります。カヤン氏は、被害者が何度かログインした後に初めてこの動作に気づいたと述べています。しかし、彼はメールで、一度発生すると「再ログインするたびに発生する」と述べています。
Skypeは携帯電話番号フィールドへの入力をチェックし、それが実際に電話番号であり、実行コードではないことを検証する必要があります。この問題は、Windows XP、Vista、7、およびMac OS Xオペレーティングシステム上の最新バージョンのSkype 5.3.0.120に影響します。
Skype は Kayan 氏の問題の説明に多少反対し、これは軽微な問題だと述べた。
「本質的には、Windows 上の主要な連絡先の 1 人が Skype ホームページ内でメッセージを表示したり、Web サイトにリダイレクトしたりできるようになります」と Skype の最高情報セキュリティ責任者であるエイドリアン・アッシャー氏は声明で述べています。
「これを悪用するには、相手があなたの有効な連絡先であり、最も頻繁に連絡を取る人物の1人でなければならないため、現実世界で問題が発生する可能性は非常に低いが、このような状況であってはならないため、修正されるだろう」と彼は述べた。
このVoIPサービスは今年初め、Android版でも同様のプライバシー問題を経験した。
ニュースのヒントやコメントは[email protected]までお送りください。
