RealNetworks の配信および再生環境に脆弱性

デジタルメディアプラットフォームを手がける RealNetworks (NASDAQ:RNWK) は、同社のメディア配信プラットフォーム『Helix Universal Server 9』に、ルート権限によるプログラムコード実行を許す脆弱性が見つかったとして警告を発した。

同社のセキュリティ警告によれば、同脆弱性により攻撃者がシステムアクセス権限を奪い、任意のプログラムコードを実行するおそれがあるという。

独立系セキュリティコンサルタント会社 Secunia は、同脆弱性の危険度を『特に重大』としている。同脆弱性は Helix Universal Server 9 の各版に加え、『RealServer G2』『RealSystem Server 7』『RealSystem Server 8』にも存在する。

問題は『View Source』プラグインの URL 文字列処理にある。RealNetworks は修正版を準備中だが、当面の対処法としてプラグインディレクトリから同プラグインの実体ファイル「vsrcplin.so (UNIX 版)」または「vsrcplin.dll (Windows 版)」を削除し、サーバープロセスを再起動することを勧めている。

またほかに、同社の主力製品『RealOne Player』にみつかった、任意のプログラムコード実行を許す脆弱性についても、セキュリティ警告を出している。

同脆弱性の危険度評価は『中程度』となっており、『RealOne Player (V2 を含む)』『RealOne Enterprise Desktop』『RealOne Desktop Manager』に存在する。

RealNetworks によると、同脆弱性は SMIL ファイルから呼び出す外部スクリプトの扱いに起因するという。想定し得る攻撃方法は、任意のドメインの外部スクリプトを実行できることから、細工した SMIL ファイルの再生に誘導し、悪意をもったスクリプト実行に持ち込むというもの。

同社はすでに対応版を出しており、RealOne Player の更新チェック機能でアップデートできる。