RealPlayerにバッファオーバーフローの脆弱性

米RealNetworksは米国時間6月10日、バッファオーバーフローの脆弱性を発表した。この問題による被害は報告されていないとしているが、修正をアップデートするように呼びかけている。

» 2004年06月11日 18時51分 公開
[ITmedia]

 米RealNetworksは米国時間6月10日、「RealOne Player」など、複数の同社の動画/音声再生ソフトウェアに、2種類のバッファオーバーフローの脆弱性が存在していたことを発表した。ユーザーシステム上で攻撃者に任意のコードを実行される恐れがある。

 一つは、eEye Digital Securityが指摘した脆弱性だ。RealPlayer上でエラーメッセージを表示する「embd3260.dll」ファイルにヒープバッファオーバーフローの問題があり、細工を施した動画ファイルを含んだHTMLファイルを開くと、任意のコードを実行される恐れがある。

 もう一つの問題はiDEFENSEが指摘したもの。あまりに多くのピリオド「.」を含むURLを処理しようとすると、バッファオーバーフローが引き起こされる。たとえば、再生すべきRAMファイルを、多くのピリオドを組み入れたURLに置くことによってこの脆弱性を悪用し、リモートから任意のコードを実行されてしまう恐れがある。

 これらの問題は、Windows版の「RealOnePlayer」(英語版)、「RealOnePlayer v2」(すべての言語版)、「RealPlayer10」(英語版、ドイツ語版、日本語版)、RealPlayer8」(すべての言語版)、「RealPlayer Enterprise」(すべての言語版)に影響する。

 RealNetworksは、この問題による被害は報告されていないとしているが、修正をアップデートするように呼びかけている。

 RealOne Player、RealOne Player v2、RealPlayer 10を利用している場合は、[ツール]メニューの[アップデートをチェック]を選択し、[セキュリティアップデート - 2004 年 6 月] コンポーネントの横にあるボックスをオンにして、[インストール]をクリックすることで、アップデートできる。RealPlayer 8を利用している場合は、RealPlayer 10 にアップデートするように促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ