Sophosは11月20日(米国時間)、「Patch Skype for Business now or risk DoS via emoji kittens!|naked security|Sophos」において、Skype for Businessにアニメーション絵文字を大量に送りつけられることで操作が不能な状態に陥る脆弱性(CVE-2018-8546)が存在すると伝えた。
この脆弱性を発見したのはSEC Consultというセキュリティ・ベンダー。同社は、800個の猫のアニメーション絵文字を用いて、大量の絵文字をSkype for Businessに送りつけると数秒間利用できないというDoS攻撃を受けたような状態になり、絵文字を継続して送りつけられることで操作できない状況が続くことになることを示している。
-
00個の猫のアニメーション絵文字を送り付けられたことで、数秒間停止してしまったSkype for Business 資料:SEC Consult
この脆弱性の影響を受けるとされているプロダクトおよびバージョンは次のとおり。
- Skype for Business 2016 MSO (16.0.93) 64ビット版およびこれよりも前のバージョン(Windows版)
- Microsoft Office Professional Plus 2013 Lync 2013 (15.0) 64ビット版およびこれよりも前のバージョン(Windows版)
この脆弱性「CVE-2018-8546」に対する修正パッチは、マイクロソフトが11月13日にリリースした11月の月例更新プログラムに含まれているという。SEC Consultは修正パッチが当てられない時の回避策として、Skype for Businessクライアントでemojisを無効にすることを挙げている。
