『RealPlayer』に重大な脆弱性

デジタルメディア配信技術会社 RealNetworks (NASDAQ:RNWK) は、同社の主力メディアプレーヤ製品の、システムを乗っ取りを許すおそれもある脆弱性に対応するため、修正アップデートを公開した。

同社は、4日の日付で公開したセキュリティ勧告の中で、悪用手段を3つ示した。うち1つは最新の『RealPlayer 10』のベータ版でも問題になると警告している。

これらの脆弱性は NGSSoftware が発見したもので、「.RP」「.RT」「.RAM」「.RPM」「.SMIL」ファイルを読み取る際の問題だ。RealNetworks によると、細工した不正ファイルを悪意のある Web サイト上に置くことにより、バッファオーバフローを引き起こすことが可能だという。

また「.RMP」ファイルの処理が不適切なため、任意のコードをダウンロードして実行するおそれがある問題と、「.SMIL」などのファイルを処理する際に入力の正当性確認が不適切なため、クロスサイト スクリプティング攻撃を招くおそれがある問題を修正した。

セキュリティ調査会社 Secunia は、今回の脆弱性の危険度を「非常に重大」としている。

脆弱性を含むソフトウェアは、『RealPlayer 8』『RealPlayer 10 (ベータ版)』『RealOne Player』『RealOne Player v2』『RealOne Enterprise Desktop』『RealPlayer Enterprise』となっている。

RealNetworks のメディアプレーヤ製品は、世界2億人を超えるユーザーがダウンロードしている人気製品だが、セキュリティ上の問題が見つかったのは、今回が初めてではない。最近では昨年4月、クラッカーが不正な PNG 画像ファイルを用いてメモリ領域を破壊し、任意のコードを実行し得るという問題が RealPlayer に見つかったため、修正アップデートを公開している。