RealPlayerに3種類の脆弱性

[ITmedia]

　RealPlayerとRealOne Playerに3種類の脆弱性が発見された。セキュリティ企業のFrSIRTがアドバイザリーで報告している。Windows版、Mac版、Linux版が影響を受け、FrSIRTではランクを危険度が最も高い「重大」としてパッチの適用か最新システムへのアップデートを推奨している。

　脆弱性の1番目は、Real Mediaファイルに含まれた不正なデータパケットを処理した場合、スタックオーバーフローが起き、これを悪用するとリモートから任意のコマンド実行が可能になる。

　ユーザーを不正なWebサイトに誘導し、細工を施した「.rm」ファイルをダウンロードさせることで、脆弱性を持つRealPlayerが搭載されたマシンを攻撃することが可能だという。

　残り2種類は、スキンファイルの処理に関連するもの。

　2番目の脆弱性は「DUNZIP32」ライブラリのヒープオーバーフローのエラーによるもので、不正なRealPlayerスキンファイルを適切に処理できないことから起きる。細工を施した「.rjs」ファイルをダウンロードさせ、コマンド実行を仕掛けることが可能だ。

　3番目は、特定されないスタックオーバーフローが不正なスキンファイルを実行するときに起きる。これを悪用するとリモートからの侵入が可能となる。