米シマンテックや米マカフィー、米US-CERTなどのセキュリティベンダー/組織は2007年10月19日(米国時間)、米リアルネットワークスのメディア再生ソフト「RealPlayer」の新しい脆弱(ぜいじゃく)性を悪用する攻撃が出現したとして注意を呼びかけた。攻撃が確認された後、リアルネットワークスでは10月19日付で修正パッチ(セキュリティアップデート)を公開している。
今回の脆弱性は、RealPlayerに含まれるActiveXコントロールに関するもの。このコントロールには「バッファーオーバーフロー」を発生させる欠陥が存在するため、細工が施されたデータを渡されると、データに含まれる任意のプログラムを実行される恐れがある。
WebブラウザーにInternet Explorer(IE)を利用している場合には、細工が施されたWebサイトにアクセスするだけで、ウイルスなどを仕込まれる恐れがある。実際、今回の脆弱性が公表される前に、脆弱性を悪用するWebサイトやウイルスが確認された。いわゆる「ゼロデイ攻撃」である。ゼロデイ攻撃が確認されたことで、脆弱性の存在が明らかとなった。
今回の脆弱性を突くWebサイトにアクセスすると、ウイルスを勝手にインストールされて、パソコンを乗っ取られる恐れがある。マカフィーでは、同社製品のユーザー250名程度が、今回の脆弱性を悪用するWebサイトにアクセスしたことを確認(10月19日時点)。そのほとんどは米国のユーザーだったという。
今回の脆弱性は、RealPlayerの最新バージョンである「RealPlayer 11ベータ版」や「RealPlayer 10.5」で確認されている。また、脆弱性が存在するActiveXコントロールは、RealPlayerバージョン9(RealOne Player)以降に含まれているので、RealPlayer 10.5より古いバージョンも影響を受けるだろうという。
攻撃が確認された後、リアルネットワークスでは今回の脆弱性に関する情報と修正パッチを公開。マカフィーによれば、リアルネットワークスでは攻撃が確認されてから24時間以内に修正パッチを公開したという。
US-CERTでは、脆弱性の影響を回避する方法として、(1)リアルネットワークスの修正パッチを適用する、(2)問題のActiveXコントロールがIE経由で呼び出されないように「kill bit」を設定する、(3)IEのセキュリティ設定を変更して、ActiveXコントロールが実行されないようにする――ことなどを挙げている。(2)や(3)の具体的な設定方法については、US-CERTの情報などを参照してほしい。
