悪意のあるスクリプトが入ったビデオを再生すると任意のスクリプトが実行できるので危険との事
影響を受けるのはWindows版のSkype 3.5/3.6。危険度は共通指標CVSSのベーススコアで最も高い10.0となっている。セキュリティ研究者がコンセプト実証コードも公開した。
これを受けてSkypeは、Dailymotionギャラリーからビデオを追加できる機能を一時的に無効にする措置を取った。脆弱性を突いた実際の攻撃が起きる前に対処されたため、ユーザーが影響を受けた可能性は低いとしている。
SkypeがInternet Explorerのゾーンではなくローカルイントラネットゾーンで動作するのでクロスゾーンか。
Skypeがインターネット上のWebページをInternet Explorer(IE)の「インターネット」ゾーンでなく「ローカルイントラネット」ゾーンにあるものとして処理することから,Raff氏はこの攻撃手法を「クロスゾーン・スクリプティング」と呼ぶ。Skypeは「Send money via PayPal」や「Add video to chat」といったダイアログ・ボックスの表示にIEを利用するが,その際セキュリティ・レベルが「中低」のローカルイントラネット・ゾーンとしてWebページをレンダリングするため,悪質なスクリプトで攻撃される恐れがある。
