ソニーのウォークマン向け音楽管理ソフト「CONNECT Player」(現SonicStage CP)に脆弱性が報告されたとして、セキュリティ企業のSecuniaが10月29日、アドバイザリーを公開した。公式パッチはまだ存在せず、信頼できないプレイリストファイルを開かないよう勧告している。
Secuniaによると、脆弱性はCONNECT Player(SonicStage CP)のバージョン4.3で確認され、ほかのバージョンも影響を受ける恐れがある。
M3Uのプレイリストファイルを処理する際の境界エラーが原因で、攻撃者が過度に長いファイル名を付けたプレイリストファイルを使ってスタックバッファオーバーフローを誘発し、任意のコードを実行することが可能になる。
問題を悪用されるとシステムを制御される恐れがあることから、Secuniaは深刻度を5段階で上から2番目に高い「Highly critical」と評価している。
SonicStage 4.3は、ソニーが2007年8月8日付のリリースでダウンロード提供を発表している、CONNECT Playerを統合したソフト。なお、ソニーの別のリリースによれば、旧CONNECT Playerのアップデートサービスは、2007年11月30日をもって終了する。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR