「Skype」にスタックバッファオーバーフローの脆弱性、任意コードが実行可能に

Vulnerability Laboratoryのアナウンス

　ドイツのVulnerability Laboratoryは、Windows デスクトップ版「Skype」のクリップボードフォーマット機能に深刻な脆弱性（CVE-2017-9948）が存在することを明らかにした。共通脆弱性評価 システム“CVSS”の基本値は“7.2”で、「Skype」v7.2、v7.35およびv7.36に影響するという。

　本脆弱性は、“リモート デスクトップ接続（RDP）”で共有されたクリップボードコンテンツを「Skype」のメッセージボックスへ貼り付けると、“msftedit.dll”がそれを正常に処理できず、スタックバッファオーバーフローが発生するというもの。「Skype」を異常終了させることができるほか、最悪の場合、任意のコードを実行可能になるという。

　この不具合は8日（米国時間）付けでリリースされたWindows デスクトップ版「Skype」の最新版v7.37で修正されている。通常、「Skype」は更新機能で自動的にアップデートされるが、念のためバージョンを確認することをお勧めする。