米Microsoftが2018年11月の月例セキュリティ更新プログラムで修正した「Skype for Business」の脆弱性について、この脆弱性を発見したドイツのセキュリティ企業SEC Consultが、ブログで詳細を公表した。

Skype for Businessのサービス妨害（DoS）の脆弱性（CVE-2018-8546）は、攻撃者が狙った相手に大量の絵文字を送信すると、相手のSkype for Businessクライアントが反応を停止してしまうというもの。

Skype for Businessで狙った相手に大量の絵文字を送信すると、クライアントが反応を停止してしまうという脆弱性があった（出典：SEC Consult）

SEC Consultは猫の絵文字を使ってこの問題を実証した。絵文字100個でアプリケーションの動作が遅くなり始め、800個を同時に受け取ると、Skype for Businessクライアントが数秒間、反応を停止する。さらに絵文字を送り続けると、攻撃が止むまで同クライアントが使えない状態が続くという。

Microsoftのセキュリティ情報によると、この問題はSkype for Business 2016のほか、Lync 2013、Office 2019、Office 365 ProPlusが影響を受ける。更新プログラムでは、絵文字の処理方法を修正することによってこの問題に対処した。最大深刻度は「低」と位置付けている。

SEC Consultでは、LyncやSkype for Businessは世界中の企業によってコールセンターや顧客サポートなどの業務に使われていると指摘し、企業のITやセキュリティ担当者に対し、継続的なパッチ管理を行ってリスクを低減するよう促している。

関連キーワード Skype | 絵文字 | 脆弱性 | 猫 | Microsoft

