Skypeに危険な脆弱性が発見されるも、膨大な作業工数ゆえに修正に時間が掛かる模様

Skypeに、システム全体のアクセス権限を手に入れることができてしまう、極めて危険な脆弱性が発見された。

ところが、同アプリを保有するMicrosoftはバグが再現できることを確認した上で「作業工数が膨大」であることを理由として、アプリをすぐには修正できないことを説明。

ZDNetによると、代わりに完全に新しいアプリとして作り直すために社内リソースをかき集めて開発を進めているとのこと。

WindowsだけではなくMacやLinuxも同様の危険性

この脆弱性はセキュリティ研究者のStefan Kanthak氏が発見。悪意のあるDLLファイルをユーザーがアクセス可能な一時フォルダに移動させ、Skypeが本来使用するはずのDLLファイルと置き換えることができてしまう、というもの。

Kanthak氏Windowsではこの脆弱性を利用した攻撃を実行する手段は複数ある、と説明。MacやLinuxでも同様の危険に晒される可能性がある。

この脆弱性の存在は昨年9月時点でMicrosoftに報告されていたが、一部のコードを修正するだけでは解決しない規模の大きい修正が必要になることから、新しいアプリとしてゼロから書き換えているとのこと。

幸いにもSkypeの実行権限はログインしたユーザーと同レベルであるため、悪意を持った攻撃をするのは効率が悪く、狙われづらいアプリではある模様。ただし、危険な脆弱性が存在していることには代わりがないため、一刻も早く新しいアプリがリリースされることを願いたい。

（via 9to5Mac）