マイクロソフトは、Skype の修復不可能と思われるセキュリティ欠陥にパニックになっている人々に冷や水を浴びせた。
今週、情報セキュリティ業界は、レドモンドのビデオチャットアプリに深刻なバグが見つかったという懸念と、大規模なコード書き換えなしには対処できないというニュースで騒然となった。このプログラミングミスはあまりにも重大で、簡単にパッチを当てることはできない。MicrosoftはSkype for Windowsを再設計し、将来的に新リリースをリリースする以外に選択肢はないだろう。
まあ、10月に修正されました。
マイクロソフトの救済に駆けつけるつもりはありませんが、この脆弱性はSkype for Windowsバージョン7.40以下に存在します。2017年10月にマイクロソフトは脆弱性のないバージョン8をリリースしましたので、最新の状態にアップデートしていれば問題ありません。バージョン7をご利用の方は、バージョン8にアップデートしてください。
このセキュリティ上の欠陥により、Windows PC上で実行されるマルウェアはSkypeのアップデートメカニズムを悪用し、DLLハイジャックによってコンピュータを完全に制御できるようになります。この設計上の欠陥を悪用すると、悪意のあるソフトウェアやSkypeにログインしているユーザーに、システムレベルの権限が付与されます。アップデートツールはディレクトリに保存されている一時ファイルを使用するため%SYSTEMROOT%、カスタムDLLをそのフォルダにドロップし、システムレベルの権限で実行されるインストーラプロセスに挿入することが可能です。
ということで、まだインストールしていないならバージョン8をインストールしましょう。確かにMicrosoftは全ユーザーに自動的に提供していないので残念ですが、少なくとも何をすればいいのかは分かっているはずです。
「Windows版Skypeデスクトップインストーラーの旧バージョン(バージョン7.40以前)に問題がありました。問題はSkypeソフトウェアをインストールするプログラムにあり、Skypeソフトウェア自体に問題があったわけではありません」と、Skypeプログラムマネージャーのエレン・キルバーン氏は水曜日のサポートフォーラムへの投稿で述べた。
このバージョンのSkype for Windowsデスクトップを既にインストールしているお客様には影響はありません。この古いバージョンのSkype for Windowsデスクトップは、弊社ウェブサイトskype.comから削除されました。
バラは赤く、Windowsのエラー画面は青い。2018年なのに、メールは未だにあなたを騙す可能性がある
続きを読む
この問題はドイツ人研究者のシュテファン・カンタック氏によって発見され、同氏は9月にレドモンド社に警告したと述べた。カンタック氏によると、ソフトウェアのバグを修正するには「大規模なコード改訂」が必要だと10月に伝えられ、今月、この問題についてすべての人に警告するため、欠陥の詳細を公開した。
この暴露は、このバグが「重大な」継続的なセキュリティ問題となり、マイクロソフトにとって対処が非常に困難で費用もかかるものとなり、何カ月もの間、ローカルユーザーやアプリケーションを介した権限昇格攻撃に対してユーザーを無防備な状態にすることになるだろうという懸念と憶測を巻き起こした。
しかし、マイクロソフトは今週、10月にこのコーディングミスを修正し、Skypeをアップデートするだけで脆弱性を解消できることを確認しました。最新バージョンをご利用の方は、過去数ヶ月間保護されています。また、このセキュリティホールを悪用するマルウェアは確認されていません。
これにより、わずか 2 日前に大規模な Patch Tuesday アップデートが提供され、Redmond の製品における 50 件の CVE に記載された脆弱性が修正され、Skype の帯域外パッチもテストして展開する必要が生じる可能性に直面した IT 管理者にとっては、多少の安心感が得られるでしょう。®
