セキュリティ組織の米サンズ・インスティチュート(SANS Institute)や米US-CERTなどは2008年3月11日(米国時間)、米リアルネットワークスのメディア再生ソフト「RealPlayer」に新しい脆弱(ぜいじゃく)性が見つかったことを明らかにした。RealPlayerをインストールしたパソコンでは、細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。修正パッチや修正版は未公開。

 今回の脆弱性は、RealPlayerに含まれるActiveXコントロールに関するもの。RealPlayerには複数のコントロールが含まれる。その中にいくつかには、特定のデータを処理できない脆弱性が見つかった。細工が施されたデータを渡されると、データに含まれる任意のプログラムを実行される恐れがある。

 このため、ActiveXコントロールに対応したWebブラウザー(IE:Internet Explorer)で、攻撃者が用意したWebページにアクセスすると、脆弱性のあるコントロールが呼び出されて、ウイルスに感染する危険性などがある。

 今回の脆弱性は、脆弱性を突く方法がセキュリティ関連のメーリングリストに投稿されたことで明らかとなった。この方法は公表されているので、今後、攻撃者に悪用される可能性がある。

 現時点では、リアルネットワークスから修正パッチや修正版は公開されていない。このためUS-CERTなどでは、脆弱性のあるActiveXコントロールがIE経由で呼び出されないように「kill bit」を設定することを回避策として挙げている。

 IEの設定を変更して、すべてのActiveXコントロールを呼び出せないようにすることも回避策の一つ。ただしこの方法では、問題のないActiveXコントロールも呼び出せなくなる。

 kill bitの設定方法や、ActiveXコントロールを無効にする方法については、US-CERTの情報などを参照してほしい。

 そのほかサンズ・インスティチュートでは、ActiveXコントロールをサポートしていないWebブラウザー(IE以外のWebブラウザー)を使うことも、回避策の一つとして挙げている。