Microsoftが11月の月例セキュリティ更新プログラムで修正した「Skype for Business」の脆弱性について、セキュリティ企業が猫の絵文字を使って実証した。
米Microsoftが2018年11月の月例セキュリティ更新プログラムで修正した「Skype for Business」の脆弱性について、この脆弱性を発見したドイツのセキュリティ企業SEC Consultが、ブログで詳細を公表した。
Skype for Businessのサービス妨害(DoS)の脆弱性(CVE-2018-8546)は、攻撃者が狙った相手に大量の絵文字を送信すると、相手のSkype for Businessクライアントが反応を停止してしまうというもの。
SEC Consultは猫の絵文字を使ってこの問題を実証した。絵文字100個でアプリケーションの動作が遅くなり始め、800個を同時に受け取ると、Skype for Businessクライアントが数秒間、反応を停止する。さらに絵文字を送り続けると、攻撃が止むまで同クライアントが使えない状態が続くという。
Microsoftのセキュリティ情報によると、この問題はSkype for Business 2016のほか、Lync 2013、Office 2019、Office 365 ProPlusが影響を受ける。更新プログラムでは、絵文字の処理方法を修正することによってこの問題に対処した。最大深刻度は「低」と位置付けている。
SEC Consultでは、LyncやSkype for Businessは世界中の企業によってコールセンターや顧客サポートなどの業務に使われていると指摘し、企業のITやセキュリティ担当者に対し、継続的なパッチ管理を行ってリスクを低減するよう促している。
Copyright © ITmedia, Inc. All Rights Reserved.