米RealNetworksは米国時間11月10日,同社の音声/動画再生ソフト「RealOne Player」や「RealPlayer」,「Helix Player」に見つかった複数のセキュリティ・ホールを公表した(日本語情報)。細工が施されたファイルを読む込むと,ファイルに仕込まれた悪質なプログラム(例えばウイルス)を実行させられる恐れがある。そのようなファイルが置かれたWebページにアクセスするだけで被害に遭う可能性もある。Windows版だけではなく,Mac版やLinux版も影響を受ける。対策は,同社が同日公開したアップデートを適用すること。
セキュリティ・ホールの影響を受けるのは,Windows版については,RealPlayer 10.5(バージョン番号 6.0.12.1040-1235),RealPlayer 10,RealPlayer 8,RealPlayer Enterprise,RealOne Player v1/v2。
Mac版についてはMac用RealPlayer 10 (10.0.0.305-331),Linux版についてはLinux用RealPlayer 10(10.0.0-5)およびHelix Player(10.0.0-5)が影響を受ける。なお,「6.0.12.xxxx」といったバージョン番号は,「ヘルプ」メニュー(Mac版では「RealPlayer」メニュー)で「バージョン情報」を選択すれば確認できる。
今回公表されたのは,(1)スキン・ファイル(.rjs)の処理に関するセキュリティ・ホール,(2)RealMediaファイル(.rm)の処理に関するセキュリティ・ホール,(3)圧縮されたスキン・ファイルに関するセキュリティ・ホール---以上の3種類。いずれもバッファ・オーバーフローのセキュリティ・ホールである。
細工が施されたスキン・ファイルやRealMediaファイルを読み込むと,中に仕込まれた任意のプログラムを実行させられる可能性がある。細工が施されたファイルへのリンクが張られたWebページを閲覧するだけでも,任意のプログラムを実行させられる恐れがある。
対策は,同社が提供するアップデート・プログラムを適用すること。Windows版のRealOne Playerv1/v2,RealPlayer 8/10/10.5については,「ツール」メニュー(あるいは「ヘルプ」メニュー)の「アップデートをチェック」を選択して「インストール」ボタンを押せば,アップデート・プログラムがインストールされてセキュリティ・ホールが修正される。セキュリティ情報のページからもアップデートをインストールできる。RealPlayer Enterpriseについては,同社サイトからパッチをダウンロードして適用する。
Mac OS X用RealPlayer 10 についても,「RealPlayer」メニューの「アップデートをチェック」を選択して「インストール」ボタンを押せばアップデートを適用できる。Linux用RealPlayer 10とHelix Playerについては,セキュリティ・ホールを修正した最新バージョンをダウンロードしてインストールする。
◎参考資料
◆RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
◆RealNetworks, Inc.,セキュリティ脆弱性に対応するアップデートをリリース
◆RealPlayer and RealOne Player Buffer Overflow Vulnerabilities
