ITmedia NEWS >

RealPlayerやRhapsodyに複数の脆弱性

» 2006年03月23日 23時20分 公開
[ITmedia]

 RealNetworksは米国時間の3月22日、「RealPlayer」をはじめとする同社のソフトウェア製品に複数の脆弱性が存在することを明らかにした。悪用されるとリモートから任意のコードを実行される恐れのある深刻な問題が含まれており、同社では、問題を修正した新バージョンへのアップグレードを推奨している。

 一連の脆弱性の影響を受けるのは、RealPlayerのほか、RealOne PlayerやRealPlayer Enterprise、Rhapsodyの各ソフトウェアだ。4種類公表された脆弱性のうち幾つかは、Windows版だけでなく、Mac版やLinux版にも影響を及ぼす。

プラットフォーム 製品名とバージョン
Windows版 RealPlayer 10.5(ビルド6.0.12.1040〜1348)
RealPlayer 10
RealOne Player v2
RealOne Player v1
RealPlayer 8
RealPlayer Enterprise
Rhapsody 3(ビルド0.815〜1.0.269)
Macintosh版 RealPlayer 10(ビルド10.0.0.305〜331)
RealOne Player
Linux版 RealPlayer 10(ビルド10.0.0〜6)
Helix Player(ビルド10.0.0〜6)
3月22日に公表された脆弱性の影響を受けるソフトウェア

 中でも深刻かつ影響範囲が広い問題は2つある。1つは、細工を施したSWF形式のFlashファイルを読み込むことにより発生するバッファオーバーフロー、もう1つは、悪意のあるコードを含んだWebページにアクセスすると生じるバッファオーバーフローで、いずれも、悪用されればシステム上でマルウェアなど任意のコードが実行される可能性がある。また、同じように細工を施したMBC(mimio boardcast)ファイルによって生じるバッファオーバーフローも報告されている。

 また、やや深刻度は低いものの、CreateProcess()の不正使用によって、RealPlayerのパスに置かれたプログラムが実行されるという脆弱性も存在する。

 Secuniaでは一連の脆弱性の危険性を、5段階評価で上から2番目と評価。RealNetworksでは、RealPlayer 10.5(ビルド6.0.12.1483)など、問題を修正したバージョンへの早期のアップグレードを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.