エンタープライズ:ニュース 2003/04/01 22:21:00 更新


「RealPlayer」「QuickTime Player」に相次いで発見されたセキュリティホール

動画や音声などの再生に利用される「RealPlayer」「QuickTime Player」に、それぞれ深刻なセキュリティホールが発見された。いずれも悪用されれば、攻撃者によって、リモートから任意のコードを実行されてしまう可能性があるという。

 動画や音声といったリッチコンテンツの再生に利用されるアプリケーションに、相次いでセキュリティホールが発見された。

 米リアルネットワークスは3月27日、動画・音声再生ソフトウェア「RealOne Player」と「RealPlayer 8」に深刻なセキュリティホールが存在することを警告し、問題を修正した新バージョンを公開した。

 この問題は、米コアセキュリティが指摘したものだ。同ソフトウェアに含まれる「RealPix」コンポーネント内のデータ圧縮ライブラリに問題があるため、細工が施されたPNG形式のファイルを開くとヒープ破損が発生する恐れがある。これを悪用すれば、攻撃者がリモートから任意のコードを実行したり、RealPlayerを実行していたユーザーの権限でリモートコマンドシェルを取得してしまう可能性があるという。

 影響を受けるのは、Windows版では「RealOne Player v2/v1」「RealPlayer 8/RealPlayer Plus 8」と「RealOne Enterprise Desktop」。Macintosh版では「RealOne Player for OS X」ならびにMac OS 9用の「RealPlayer 8/RealPlayer Plus 8」となっている。Helix DNA Clientには影響がない。

 問題を修正するには、リアルネットワークスが提供する最新版の適用が必要で、方法は同社が公開したアドバイザリに記されている。ただし、RealOne Player バージョン 2(バージョン6.0.11.818〜6.0.11.841)やRealPlayer 8(バージョン 6.0.9.584 以前)などを利用している場合は、いったんRealOne Playerの最新バージョンにアップデートした上でアップデート版を適用するよう同社は推奨している。

Windows版QuickTime Playerにバッファオーバーフロー

 一方3月31日には、アップルコンピュータが提供するメディアプレイヤー、「QuickTime Player」のWindows版に、任意のコードの実行を許しかねないセキュリティホールが存在することが公表された。

 問題を指摘した米アイディフェンスによると、400文字を超える長い「QuickTime URL(quicktime://から始まる)」を読み込ませようとした際に、バッファオーバーフローが発生し、攻撃者がリモートから任意のコードを実行できてしまう可能性があるという。

 この脆弱性が存在するのは、Windows版のQuickTime Player versions 5.xならびに6.0だ。MacOS版には影響はない。

 問題を解決法は、アップルコンピュータが提供する最新版の「QuickTime 6.1」を適用することだ。これは同社Webサイトから入手できる。

 OSやブラウザなどのセキュリティホールも深刻だが、公開された2つのセキュリティホールも、リモートから任意のコード実行を許しかねない重大な問題だ。RealPlayerの問題については、これまでのところ被害報告はないというが、相当数のユーザーがこれらアプリケーションをインストールしていると考えられる。中には、ユーザーがそれと意識することなくメディアプレイヤーを利用している場合もあるかもしれない。

 Windows版RealPlayer 8やRealOne Playerでは、メニューの中からアップデートを実行できるようになっている。だがユーザー層とそのすそ野の広がりを考えると、Windows OSにおける「Windows Update」やMac OX用の「Software Update」と同様、なるべく簡単にパッチを適用できるようにするシステムと告知の仕組みが、これらアプリケーションにも必要になってきたといえそうだ。

関連リンク
▼Core Security Technologies Advisory : RealPlayer PNG deflate heap corruption vulnerability
▼RealNetworks Releases Security Update to Address RealOne Player, RealPlayer Security Vulnerabilities
▼RealNetworks、2003 年 3 月に RealOne Player および RealPlayer のセキュリティ脆弱性に対応するアップデートをリリース
▼iDEFENSE Security Advisory 03.31.03: Buffer Overflow in Windows QuickTime Player
関連記事
▼Windows XPとWinampから危険な調べ……?

[高橋睦美,ITmedia]