『RealPlayer』に重大な脆弱性

この記事のURLhttp://japan.internet.com/webtech/20040206/12.html

デジタルメディア配信技術会社 RealNetworks (NASDAQ:RNWK) は、同社の主力メディアプレーヤ製品の、システムを乗っ取りを許すおそれもある脆弱性に対応するため、修正アップデートを公開した。

同社は、4日の日付で公開したセキュリティ勧告の中で、悪用手段を3つ示した。うち1つは最新の『RealPlayer 10』のベータ版でも問題になると警告している。

これらの脆弱性は NGSSoftware が発見したもので、「.RP」「.RT」「.RAM」「.RPM」「.SMIL」ファイルを読み取る際の問題だ。RealNetworks によると、細工した不正ファイルを悪意のある Web サイト上に置くことにより、バッファオーバフローを引き起こすことが可能だという。

また「.RMP」ファイルの処理が不適切なため、任意のコードをダウンロードして実行するおそれがある問題と、「.SMIL」などのファイルを処理する際に入力の正当性確認が不適切なため、クロスサイト スクリプティング攻撃を招くおそれがある問題を修正した。

セキュリティ調査会社 Secunia は、今回の脆弱性の危険度を「非常に重大」としている。

脆弱性を含むソフトウェアは、『RealPlayer 8』『RealPlayer 10 (ベータ版)』『RealOne Player』『RealOne Player v2』『RealOne Enterprise Desktop』『RealPlayer Enterprise』となっている。

RealNetworks のメディアプレーヤ製品は、世界2億人を超えるユーザーがダウンロードしている人気製品だが、セキュリティ上の問題が見つかったのは、今回が初めてではない。最近では昨年4月、クラッカーが不正な PNG 画像ファイルを用いてメモリ領域を破壊し、任意のコードを実行し得るという問題が RealPlayer に見つかったため、修正アップデートを公開している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。