セキュリティ研究者のAviv Raff氏は協定世界時2008年1月17日,IP電話ソフトウエア「Skype」に危険な状態でWebページをレンダリングしてしまうセキュリティ・ホールが存在すると警告した。
Skypeがインターネット上のWebページをInternet Explorer(IE)の「インターネット」ゾーンでなく「ローカル コンピュータ」ゾーンにあるものとして処理することから,Raff氏はこの攻撃手法を「クロスゾーン・スクリプティング」と呼ぶ。Skypeは「Send money via PayPal」や「Add video to chat」といったダイアログ・ボックスの表示にIEを利用するが,ローカル コンピュータ・ゾーンとしてWebページをレンダリングするため,悪質なスクリプトで攻撃される恐れがある。
Raff氏は,SkypeのAdd video to chatダイアログ・ボックス内でキーワード「calc test」を検索するとWindowsの電卓が起動する実証コード(PoC)を作った。動作確認はSkypeの最新版「v3.6.0.244」で行ったが,同氏はこれ以前のバージョンでも同じ現象が起きると考える。
同氏は,このセキュリティ・ホールが対策されるまで,Skypeからのビデオ検索を控えるよう呼びかけている。
| ■変更履歴 第2段落でIEの「ローカル イントラネット」ゾーンで処理するとしていましたが,「ローカル コンピュータ」ゾーンの誤りです。お詫びして訂正します。本文は修正済みです。 [2008/01/22 18:35] セキュリティ・レベルが「中低」のローカル コンピュータ・ゾーンとしていましたが,それは誤りです。お詫びして訂正します。本文は修正済みです。 [2008/01/22 20:05] |
