OS XでSkypeをご利用の場合、攻撃者が標的マシンのルートアクセス権限を取得できる脆弱性が存在します。インスタントメッセージを介して、攻撃者は悪意のあるペイロードを送り込み、シェル経由でリモートアクセスを許可する可能性があります。この問題の深刻度はSkypeチームによって既に対処されており、今後のアップデートで修正される予定です。一方、概念実証により、最近のOS Xのセキュリティに関する警告や懸念事項への注意の必要性が明らかになりました。

Pure Hackingのゴードン・マダーン氏は、Metasploitフレームワークから派生したペイロードを使用して、同僚にリモートマシンで実行可能な悪意のあるメッセージを送信することに成功しました。The Registerのダン・グッドイン氏は、マダーン氏がペイロードをアクティブ化するために受信側で具体的にどのような操作が必要だったかを明らかにしていませんが、被害者のマシンにアクセスできれば、攻撃者はローカルネットワーク上の他のマシン、あるいはSkype経由で感染を拡散できる可能性があると報告しています。

マッダーンはこう書いている。

要するに、攻撃者は被害者にメッセージを送信するだけで、被害者のMacをリモート制御できるようになるということです。これは非常にワーム化しやすく、危険です。

このニュースは、Google Images が OS X 上でマルウェアを拡散する媒介物となった週の後に発表されたものです。

MacDefenderマルウェアは、Safariのデフォルトのダウンロード処理方法を悪用し、Google画像検索を閲覧するユーザーを標的にしています。最近Macに乗り換えたユーザーには、感染の恐れを煽り、脅威を駆除するためのソフトウェアのインストールを促します。もちろん、こうした一般的な攻撃手法に騙される人も依然としており、Macを初めて使用するユーザーは、新しいMacの動作を完全に理解していない可能性があります。

今日、ZDNet の Ed Bott が、攻撃が実際に起こった場合にどのようなものになるかを詳しく説明しました。

更新：今晩、Skypeはセキュリティブログでこの問題が既に修正されたと発表しました。ただし、アプリ内アップデートとしてはまだ利用できません。

本日ブログで紹介されたこの脆弱性は、悪意のある連絡先が細工したメッセージを送信し、Skype for Macをクラッシュさせる状況に関連しています。ただし、このメッセージはSkypeの連絡先リストに既に登録されている人物から送信されたものである必要があります。Skypeのデフォルトのプライバシー設定では、承認していない相手からのメッセージは受信できないため、「悪意のある連絡先」と呼ばれています。

4月14日にSkype for Macのバージョン5.1.0.922で修正プログラムがリリースされましたが、手動でダウンロードする必要がありました。まだ最新バージョンにアップデートしていない場合は、今すぐSkypeアプリを起動してアップデートを確認してください。古いバージョンのSkypeをご利用の場合は、ダウンロードページに移動し、最新バージョンにアップデートできます。下のコメントで指摘されているように、最新バージョンをご利用の場合は、手動でSkypeをダウンロードする必要があります。Skypeは来週、最新のバージョンをご利用のユーザー向けに、アプリ内アップデートとして修正プログラムを公開する予定です。