RealPlayerやRealOne Playerなどに3種類の脆弱性

[ITmedia]

　RealNetworksの動画／音声再生ソフトウェア「RealPlayer」「RealOne Player」および「Helix」に複数の脆弱性が存在することが明らかになった。RealNetworksは9月28日、警告を発するとともに、問題を修正したアップデートをリリースしている。

　今回指摘された脆弱性は3種類ある。1つは、細工を施したRMファイルを通じて任意のコードを実行させることが可能というものだ。2つめは、Playerを組み込み、しかも不正な呼び出しを仕込んだ悪意あるWebページに誘導させることにより、やはり任意のコードが実行される恐れがあるというもの。そして3つめは、細工を施したWebページを通じて、システム内のファイルを削除されてしまうという脆弱性である（ただし、この脆弱性を悪用するには、攻撃者がファイル名のパスを知っている必要がある）。

　このうち1つめの脆弱性がもっとも影響範囲が大きく、Windows版のRealPlayer 10.5（ビルド番号6.0.12.1040以前）、RealOne Player v1／v2、RealPlayer 8やRealPlayer Enterpriseのほか、Macintosh版のRealPlayer 10 ベータ版／RealOne Player、Linux版のRealPlayer 10／Helixに存在している。

　また2つめ、3つめの脆弱性はWindows版のRealPlayer 10.5（同じくビルド番号6.0.12.1040以前）とRealOne Player v1／v2に影響を及ぼす。

　RealNetworksでは「今のところこの脆弱性による被害は報告されていない」としているが、早期のアップデートを推奨している。パッチは同社Webサイトより入手可能だ。

　10月4日追記：1つめの脆弱性を発見した米eEye Digital Securityは10月1日付けでアドバイザリを公開し、より詳しい情報を公表した。これによると問題は、rm形式の動画ファイルを取り扱うときに「pnen3260.dll」で境界エラーが生じてしまうことが原因だ。