Skype for Windowsリンクに関する脆弱性バグ詳細
Skype for WindowsにURLの取り扱いに関するバグが19日に発表され、すぐに修正版(2.0.0.105以降および2.5.0.79以降)が公開されました。発表時の詳細はセキュリティページ(英語原文)でご覧ください。
参考:「Skypeにファイルを送信させられる脆弱性、最新版で修正済み」(インターネットウォッチより)
本日日本時間25日現在、最新版は2.0.0.107と2.5.0.91(ともに24日公開)です。最新版ダウンロードはこちら。
このバグに関して、昨日セキュリティブログにSkypeのCSO(Chief Security Officer、セキュリティ責任者)Kurtによる解説が掲載されましたので、その内容を以下に日本語で要約します。
]]>
Skype Webリンクについて
Web上からチャットやボイスメール、ファイルを送信してもらえるようにするリンクのこと。詳しくはSkypeリンクページ参照。
「sendfile」とは?
Skypeを介したファイル送信には「skype:user1?sendfile」というフォーマットのリンクを使います。ここでは「user1」が送信先になるのですが、ファイル名は指定されていません。これは、不正利用を回避するため、送信するファイルを選択しなければならないようSkypeで設計したからです。ユーザがリンクをクリックすると、送信したいファイルを選択するためのダイアログが開いて、自分を認証した(コンタクト情報を交換した)相手にのみファイルを送信でき、「キャンセル」ボタンをクリックすれば送信を停止できる仕組みです。
今回のバグの詳細
ある特定の条件が揃った状態で「skype:」リンクにファイル名自体を組み込むことができてしまうというもの。通常は可能ではありませんが、特定の環境で可能になることが発覚したため、すぐにバグ修正を行いました。
ただし上記で説明したとおり、ファイルを送信できるのは自分を認証した相手のみで、キャンセルすれば送信停止ができます。ですから、以前に接触したことのない相手が送信したファイルを、自動的に受信してしまうことはありません。
とはいえ修正版が公開されていますので、以下のリンクから最新版(2.0、2.5ベータとも)のダウンロードをお勧めします。
http://www.skype.com/intl/ja/download/skype/windows/
こんにちは、今、
「Skypeのソフトウェアおよびサービむの品質向上にご協力ください。」
というタイトルのメールを受信したのですが、文字化けして本文が読めません。どうすれば読むことができるでしょうか?
skymorizoさんと同じく、メールが文字化けしてまったく読めませんでした。
できるだけ早めの対処をお願いいたします。
初めまして。
私も上のようなメールを受けましたが、こちらは普通に読めます。(件名は文字化け)
ですが、リンク先に飛ぶとアンケート内容が、全て英語?で読めませんでした。
(環境は OS: Mac OS X 10.4.6 /メールソフトは Mail.app(v2.0.7))
skymorizoさん、non223さん、kaisyanさんおよび文字化けなどの問題があった他の皆さま、ご迷惑おかけして申し訳ありません。本社担当に早急に対応するよう指示いたしました。ご報告ありがとうございます。
最近、skype to skypeの音質がクリアーでなくなりました。
画像が無いときのskypeの音質はすばらしかったです。
音質良いのは必須。
画像は必須ではない。
セキュリティーには気を遣いますね。
特に,日本ではwinyがウイルスに感染をして,そのためPC内のファイルをまき散らすという深刻な被害が発生しているため尚更です。一旦発生してしまうと,取り返しがつきません。
バグがあるということは,ウイルスが入り込む余地があり得ると言うことなので心配になりますね。
個人的には,skypeにファイルの送信機能があることに一種の不安感を抱いています。万一,skypeを勝手に機能させるウイルスが作られ,skypeがPC内のファイルを不特定多数の方にファイルをまき散らすことになったとすれば・・・
このような漠然とした思いを抱く方は,それなりの数いらっしゃるのではないかと思うのですが。
このようなことを考えると,オプションで
「送信」機能を削除できるような仕組みにしていただいた方が,不安感の解消につながるように思えます。