Skypeロゴ
Skypeクレジットを購入 · ヘルプ ·
  • ダウンロード
  • Skypeの使い方
  • ビジネス
  • ショップ
  • アカウント
Mayu Shimizu

Skype for Windowsリンクに関する脆弱性バグ詳細

By My status Mayu Shimizu on 2006年5月25日 in セキュリティ:Security.

Skype for WindowsにURLの取り扱いに関するバグが19日に発表され、すぐに修正版(2.0.0.105以降および2.5.0.79以降)が公開されました。発表時の詳細はセキュリティページ(英語原文)でご覧ください。
参考:「Skypeにファイルを送信させられる脆弱性、最新版で修正済み」(インターネットウォッチより)

本日日本時間25日現在、最新版は2.0.0.107と2.5.0.91(ともに24日公開)です。最新版ダウンロードはこちら。

このバグに関して、昨日セキュリティブログにSkypeのCSO(Chief Security Officer、セキュリティ責任者)Kurtによる解説が掲載されましたので、その内容を以下に日本語で要約します。

Skype Webリンクについて

Web上からチャットやボイスメール、ファイルを送信してもらえるようにするリンクのこと。詳しくはSkypeリンクページ参照。

「sendfile」とは?

Skypeを介したファイル送信には「skype:user1?sendfile」というフォーマットのリンクを使います。ここでは「user1」が送信先になるのですが、ファイル名は指定されていません。これは、不正利用を回避するため、送信するファイルを選択しなければならないようSkypeで設計したからです。ユーザがリンクをクリックすると、送信したいファイルを選択するためのダイアログが開いて、自分を認証した(コンタクト情報を交換した)相手にのみファイルを送信でき、「キャンセル」ボタンをクリックすれば送信を停止できる仕組みです。

今回のバグの詳細

ある特定の条件が揃った状態で「skype:」リンクにファイル名自体を組み込むことができてしまうというもの。通常は可能ではありませんが、特定の環境で可能になることが発覚したため、すぐにバグ修正を行いました。

ただし上記で説明したとおり、ファイルを送信できるのは自分を認証した相手のみで、キャンセルすれば送信停止ができます。ですから、以前に接触したことのない相手が送信したファイルを、自動的に受信してしまうことはありません。
とはいえ修正版が公開されていますので、以下のリンクから最新版(2.0、2.5ベータとも)のダウンロードをお勧めします。
http://www.skype.com/intl/ja/download/skype/windows/

コメント

こんにちは、今、
「Skypeのソフトウェアおよびサービむの品質向上にご協力ください。」
というタイトルのメールを受信したのですが、文字化けして本文が読めません。どうすれば読むことができるでしょうか?

skymorizo | 2006年5月25日

skymorizoさんと同じく、メールが文字化けしてまったく読めませんでした。
できるだけ早めの対処をお願いいたします。

non223 | 2006年5月25日

初めまして。
私も上のようなメールを受けましたが、こちらは普通に読めます。(件名は文字化け)
ですが、リンク先に飛ぶとアンケート内容が、全て英語?で読めませんでした。
(環境は OS: Mac OS X 10.4.6 /メールソフトは Mail.app(v2.0.7))

kaisyan | 2006年5月25日

skymorizoさん、non223さん、kaisyanさんおよび文字化けなどの問題があった他の皆さま、ご迷惑おかけして申し訳ありません。本社担当に早急に対応するよう指示いたしました。ご報告ありがとうございます。

marchingants | 2006年5月26日

最近、skype to skypeの音質がクリアーでなくなりました。
画像が無いときのskypeの音質はすばらしかったです。
音質良いのは必須。
画像は必須ではない。

ntoshi | 2006年5月29日

セキュリティーには気を遣いますね。
特に,日本ではwinyがウイルスに感染をして,そのためPC内のファイルをまき散らすという深刻な被害が発生しているため尚更です。一旦発生してしまうと,取り返しがつきません。
バグがあるということは,ウイルスが入り込む余地があり得ると言うことなので心配になりますね。

個人的には,skypeにファイルの送信機能があることに一種の不安感を抱いています。万一,skypeを勝手に機能させるウイルスが作られ,skypeがPC内のファイルを不特定多数の方にファイルをまき散らすことになったとすれば・・・
このような漠然とした思いを抱く方は,それなりの数いらっしゃるのではないかと思うのですが。

このようなことを考えると,オプションで
「送信」機能を削除できるような仕組みにしていただいた方が,不安感の解消につながるように思えます。

osakakyoto | 2006年6月 4日

このエントリーへのコメント

(初めてコメントされる方は、コメントの反映が運営者の確認後となる場合がありますのでご了承ください。)

トラックバック

このエントリーへのトラックバックURL:
http://share.skype.com/cgi/mt/mt-tb.cgi/1023

Skype for Windowsリンクに関する脆弱性バグ詳細 の関連ブログリンク

» Skype for Windowsリンクに関する脆弱性バグ詳細 from Skype News (スカイプ ニュース)
スカイプ(Skype)社本家の日本語ブログに今回の脆弱性に関する詳細が載りました。 やはり本家による日本語の説明があると安心ですね。 2.0、2.5共に最新版にアップデートしましょう... [続きを読む]

トラックバック日時: 2006年5月25日 16:19

Skypeブログ

  • Share Skype Blog
  • Heartbeat
  • Developer Zone
  • Business
  • Skype Gear
  • Security
  • Garage
  • Mac
  • Linux
  • Eesti keeles
  • 日本語
  • Česky
  • Deutsch
  • Français
  • Italiano
  • Brasil
  • United Kingdom
  • Polski
  • United States
  • 한국어

最近のエントリー

  • Skype for Windows ver. 4.1.0.136変更ログ
  • Skype 4.1 for Windows正式版公開
  • Skype 1.1 for iPhone & iPod touch公開
  • Skype for Windows ver. 4.0.0.227 hotfix 変更ログ
  • よしもとオンラインでSkypeテレビ電話
  • Skype for Businessコンテスト - 残り1週間
  • Skypeショップでワイヤレスヘッドセット30%オフ
  • デスクトップ共有機能のついたSkype 4.1 for Windowsベータ公開
  • Skypeオンラインショップリニューアル
  • Skypeお問い合わせフォームの使い方

アーカイブ

  • 2009年7月
  • 2009年6月
  • 2009年5月
  • 2009年4月
  • 2009年3月
  • 2009年2月
  • 2009年1月
  • 2008年12月
  • 2008年11月
  • 2008年10月
  • 2008年9月
  • 2008年8月
  • 2008年7月
  • 2008年6月
  • 2008年5月
  • 2008年4月
  • 2008年3月
  • 2008年2月
  • 2008年1月
  • 2007年12月
  • 2007年11月
  • 2007年10月
  • 2007年9月
  • 2007年8月
  • 2007年7月
  • 2007年6月
  • 2007年5月
  • 2007年4月
  • 2007年3月
  • 2007年2月
  • 2007年1月
  • 2006年12月
  • 2006年11月
  • 2006年10月
  • 2006年9月
  • 2006年8月
  • 2006年7月
  • 2006年6月
  • 2006年5月
  • 2006年4月
  • 2006年3月
  • 2006年2月
  • 2006年1月
登録

このブログを登録
登録とは?続きを読む…

using RSS 登録
via Bloglines Subscribe in Bloglines
using Newsgator Subscribe in NewsGator Online
with MyYahoo
with Google Add to Google
with netvibes Add to Netvibes

Skypeフレンズ(順不同)

  • Excite & Skype インフォメーション
  • Skype News HK’s Page
  • スカイプ
  • Going My Way
  • にっき (n-yoshi@lares)
  • P2P today ダブルスラッシュ

Skype社員

  • s@s siwata@skype

Skype@テクノラティ

テクノラティって?

      会社概要 · ニュース · 求人情報 · 料金 · セキュリティ
      プライバシーポリシー · 規約とポリシー · © 2009 Skype Limited