メディア再生ソフトのRealPlayerにActiveXコントロール関連の脆弱性が見つかった。パッチはまだ公開されていない。
US-CERTが3月11日に公開したセキュリティ情報によると、RealPlayerではInternet Explorer(IE)と統合できるようにするために複数のActiveXコントロールを提供しているが、「rmoc3260.dll」のActiveXコントロールに「Console」プロパティなどの不適切な処理に起因する脆弱性がある。
攻撃者は細工を施したHTMLをユーザーに閲覧させることにより、この問題を突いてリモートで任意のコードを実行することが可能になる。
セキュリティ企業Secuniaによれば、脆弱性はRealPlayer 11.0.1(ビルド6.0.14.794)で確認され、ほかのバージョンも影響を受ける可能性がある。現時点で脆弱性修正パッチは未公開。
SANS Internet Storm Centerによると、この問題を突いたエクスプロイトもセキュリティメーリングリストで公開された。US-CERTでは、IEでRealPlayer ActiveXコントロールを無効にする回避策を紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR