ネット上に公開された情報によると、セキュリティコンサルタントがSkypeに対し、クロスサイトスクリプティングの脆弱性を報告した。この脆弱性により、他人のアカウントのパスワードが変更される可能性があるという。Skypeは来週にも修正プログラムを公開すると発表した。
ベルリンを拠点とするコンサルタント、レヴェント・カヤン氏は水曜日に自身のブログに欠陥の詳細を掲載し、翌日にはスカイプに通知した。同氏は金曜日、まだ返答がないと述べた。
問題は、携帯電話番号を入力できるフィールドにあります。Kayan氏によると、悪意のあるユーザーがプロフィールの携帯電話番号入力欄にJavaScriptを挿入できる可能性があるとのことです。
連絡先の1人がオンラインになると、悪意のあるユーザーのプロフィールが更新され、もう1人の連絡先がログインするとJavaScriptが実行されます。Kayan氏は、相手のセッションが乗っ取られ、その人のコンピュータを制御できるようになる可能性があると指摘しています。攻撃者は、誰かのアカウントのパスワードを変更することも可能です。
攻撃者と被害者がSkypeで友達関係にある必要があるなど、いくつかの緩和要因があります。また、被害者がログインしても攻撃がすぐに実行されない可能性もあります。カヤン氏は、被害者が何度かログインした後に初めてこの動作に気づいたと述べています。しかし、彼はメールで、一度発生すると「再ログインするたびに発生する」と述べています。
Skypeは携帯電話番号入力欄への入力内容を確認し、それが実際に電話番号であり実行コードではないことを検証する必要があります。この問題は、Windows XP、Vista、7、およびMac OS X上の最新バージョンのSkype 5.3.0.120に影響します。
Skype は Kayan 氏の問題の説明に多少反対し、これは軽微な問題だと述べた。
「本質的には、Windows 上の主要な連絡先の 1 人が Skype ホームページ内でメッセージを表示したり、Web サイトにリダイレクトしたりできるようになります」と Skype の最高情報セキュリティ責任者であるエイドリアン・アッシャー氏は声明で述べています。
これを悪用するには、相手があなたの有効な連絡先であり、最も頻繁に連絡を取る人物の1人である必要があります。したがって、現実世界で問題が発生する可能性は非常に低いですが、このような状況であってはならず、修正される予定です」と彼は述べた。
Skype からのコメントを追加して、太平洋標準時午前 8 時に更新しました。
