QHSLはスカイプのアップデートインストーラに重大な脆弱性があることを発表しました。これは、マイクロソフトはパッチリリースをせず、このため「ラージコードリビジョン」を通じてアップデートを要求しています。

セキュリティ上の欠陥とは?

セキュリティリサーチャのStefan Kanthakは、2017年9月にこの脆弱性を発見しました。この欠陥はDLLのハイジャック技術を使って攻撃を仕掛けてきます。それは実際のMSのコードではなく、マルウェアコードを使ってスカイプに侵入します。

スカイプ上のセキュリティ問題はこれが最初ではありません。2017年6月、メッセージサービスに重大な欠陥が明らかになり、ハッカーはシステムをクラッシュさせ、マルウェアコードを実行させました。これはその後MSによって修正されました。

スカイプは、「Electron」というアプリケーションに使われているコモンオープンソースフレームワークを使っています。Electronは後に重大な脆弱性をもっていることが判明し、結果的にスカイプにも脆弱性がある、となったわけです。

ユーザもDLLハイジャック技術に起因する脆弱性を抱えています。

注意すべきは、この脆弱性はWindows10パソコンにバンドルされている、一般的なWindowsプラットフォームアプリではなく、デスクトップアプリとしてのスカイプ固有です。これらのアプリはDLLハイジャック技術に対して脆弱なアップデートインストーラをもっていることです。

どの程度この欠陥は深刻なのか?

このセキュリティ上の欠陥は、ハッカーにシステムレベルの特権をさらすことになります。これは、ハッカーが感染したシステムを完全に制御し、ランサムウェアを走らせたり、PCにマルウェアをインストールさせることで、個人情報を消去し、重要データを盗み出したりします。

この欠陥はwindows、Mac、Linuxに関わらず、すべてのOSに共通する重大性をもっています。

MSはコードの全面的な書き換えの必要性を宣言していますが、今のところ現実的ではありません。MSは次期バージョンで修正するといっていますが、いつになるのかは明言を避けています。

従いまして、この欠陥の修正までは、Windowsアプリとしてのスカイプは利用すべきではありません。代替えとしてWhatsAppやグーグルDuoを推奨します。