『RealPlayer』に新たな脆弱性

イギリスのセキュリティ会社 NGSSoftware は7日、RealNetworks (NASDAQ:RNWK) のメディアプレーヤ製品『RealPlayer』に、システムの乗っ取りを許す可能性のある脆弱性が見つかったとして、セキュリティ勧告を公表した。

勧告によると、同脆弱性が存在するのは、『RealPlayer 8』『RealOne Player』『RealOne Player v2』(各国語、Windows 版のみ)『RealPlayer 10 Beta』(英語版のみ)、それに『RealPlayer Enterprise』のスタンドアロン型および『RealOne Enterprise Manager』により設定したものを含め、各バージョンとなっている。

独立系のセキュリティコンサルタント会社 Secunia は、同脆弱性の危険度を、5段階で上から2番目の「非常に危険」としている。

RealOne や RealPlayer ソフトウェアはメディアプレーヤ製品としては最も広く普及している製品のひとつで、ユーザー数は全世界で2億人を超えるとみられる。

NGSSoftware によれば、悪意ある攻撃者は「.R3T」ファイルを意図的に細工し、RealOne や RealPlayer にスタックオーバーランを引き起こすことができるという。同社は、「このようなファイルを含んだ Web サイトにユーザーを誘導すれば、利用しているシステムにログインしているユーザーの権限で、任意のプログラムコードを実行できる。また、細工した「.R3T」ファイルをメールに添付し、相手に開かせるという手段も取り得る」と述べた。

RealNetworks は同脆弱性を確認したが、問題は特殊な「R3T」プラグインをダウンロードしたことのある場合のみに限ると明言している。同社によれば、最新版の『RealPlayer 10 Gold』では、脆弱性のあるコンポーネントをインストール中に削除するため、セキュリティ上の問題はないという。

同社はこの問題に対応するため、「R3T」プラグインの削除プログラムを公開しているほか、プレイヤのアップデートを呼びかけている。アップデートは、利用しているメディアプレーヤ製品のツールメニューから、アップデートをチェックを選べば、実施できる。