RealPlayerにActiveX関連のゼロデイ脆弱性

RealPlayerに深刻な脆弱性が見つかり、エクスプロイトも公開されたが、まだパッチは未公開。

[ITmedia]

　メディア再生ソフトのRealPlayerにActiveXコントロール関連の脆弱性が見つかった。パッチはまだ公開されていない。

　US-CERTが3月11日に公開したセキュリティ情報によると、RealPlayerではInternet Explorer（IE）と統合できるようにするために複数のActiveXコントロールを提供しているが、「rmoc3260.dll」のActiveXコントロールに「Console」プロパティなどの不適切な処理に起因する脆弱性がある。

　攻撃者は細工を施したHTMLをユーザーに閲覧させることにより、この問題を突いてリモートで任意のコードを実行することが可能になる。

　セキュリティ企業Secuniaによれば、脆弱性はRealPlayer 11.0.1（ビルド6.0.14.794）で確認され、ほかのバージョンも影響を受ける可能性がある。現時点で脆弱性修正パッチは未公開。

　SANS Internet Storm Centerによると、この問題を突いたエクスプロイトもセキュリティメーリングリストで公開された。US-CERTでは、IEでRealPlayer ActiveXコントロールを無効にする回避策を紹介している。