米リアルネットワークスは2007年10月25日(米国時間)、同社のメディア再生ソフト「RealPlayer」などに新しい脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたMP3ファイル(.mp3)などを読み込むだけで、中に仕込まれた悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、修正済みのバージョンへアップデートすること。

 今回見つかった脆弱性は6種類。いずれも「バッファーオーバーフロー」と呼ばれる問題を発生させるもの。10月19日に同社が公表した脆弱性もバッファーオーバーフローを発生させるものだったが、今回の脆弱性とは異なる。

 今回の脆弱性を悪用されると、細工が施されたファイル(mp3、rm、SMIL、swf、ram、plsファイル)を読み込むだけでバッファーオーバーフローが発生し、RealPlayerなどが不正終了したり、悪質なプログラムを勝手に実行されたりする危険性がある。同社によれば、10月25日時点では、今回の脆弱性を悪用した攻撃などは報告されていないという。

 影響を受けるのは、以下の製品。

  • Windows版
    • RealPlayer 10.5(バージョン番号6.0.12.1040-6.0.12.1578、6.0.12.1698、6.0.12.1741)
    • RealPlayer 10
    • RealOne Player v2
    • RealOne Player v1(英語版)
    • RealPlayer 8
    • RealPlayer Enterprise(英語版)
  • Mac版
    • RealPlayer 10.1(バージョン番号10.0.0.481、10.0.0.396-10.0.0.412)
    • RealPlayer 10(10.0.0.352、10.0.0.305-331)
    • RealOne Player(英語版)
  • Linux版
    • RealPlayer 10(バージョン番号10.0.5-10.0.8)
    • Helix Player(バージョン番号10.0.5-10.0.8)

 対策は、修正済みバージョンにアップデートすること。例えば、Windows版のRealPlayer 10.5(バージョン番号6.0.12.1662)、Mac版のRealPlayer 10.1(バージョン番号10.0.0.503)では、今回の脆弱性は修正されている。

 アップデートプログラム(セキュリティアップデート)は、同社のWebページから入手できる。Windows版については、「ツール」メニューや「ヘルプ」メニューの「アップデートをチェック」からもダウンロードできる。