セキュリティ・ベンダーの仏FrSIRT(French Security Incident Response Team)は,米RealNetworksの音声/動画再生ソフト「Realplayer」と「Helix Player」でセキュリティ・ホールが見つかったことを現地時間9月26日に公表した。悪用されるとシステムを乗っ取られ,任意のコードを実行される恐れがあるという。同社は深刻度を「Critical」としている。
今回見つかったセキュリティ・ホールの影響を受けるのは,Linux/Unix版のRealPlayer(バージョン番号10.0.5.756 Gold)とHelix Player(同1.0.5.757 Gold)。
これらの製品には,フォーマット・ストリング関連のぜい弱性が存在する。細工を施した不正な「.rp」「.rt」形式のメディア・ファイルを読み込むことにより,リモートから任意のプログラムを実行される可能性があるという。
米メディアの報道(CNET News.com)によると,デンマークのセキュリティ企業Secuniaは,このセキュリティ・ホールの深刻度を「Highly Critical」としている。同社によれば,このぜい弱性について,すでに発見者からRealNetworks社に報告が行なわれているが,同社からセキュリティ・アップデートはまだ公開されていない。
RealNetworks社は,RealPlayerで見つかった4点のセキュリティ・ホールを修正するパッチを同年6月に公開している。それ以降,新しいパッチは公開されていない。
◎関連記事
■「このセキュリティ・ホールが狙われる」---米SANSが第2四半期版“危険リスト”を公開
■RealPlayerに任意のコードを実行されるなど複数の深刻なセキュリティ・ホール
■RealOne Playerなどに危険なセキュリティ・ホール,早急にアップデートを
■RealOne Player/RealPlayerに危険なセキュリティ・ホール,アップデートで解消できる
[発表資料へ]
