米RealNetworksは米国時間10月26日,同社の音声/動画再生ソフト「RealOne Player v1/v2」や「RealPlayer 10/10.5」にセキュリティ・ホールがあることを明らかにした日本語訳)。Windows版だけが影響を受ける。細工が施されたスキン・ファイルを読み込むと,任意のプログラムを実行させられる可能性がある。対策は同社が公開するアップデートをインストールすること。RealOne Playerなどの「ツール」メニューなどからインストールできる。

 セキュリティ・ホールの原因は,RealOne Playerなどに含まれるサード・パーティ製の圧縮ライブラリ「DUNZIP32.DLL」。このライブラリには,バッファ・オーバーフローのセキュリティ・ホールが存在する。このライブラリは圧縮されたスキン・ファイルを展開するために使用される。このため,細工が施されたスキン・ファイルを読む込むと,ファイル内に仕込まれた任意のプログラムを実行させられる。

 同社が公開するアップデートをインストールすれば,このセキュリティ・ホールを解消できる。RealOne Playerなどの「ツール」メニューから「アップデートをチェック」を選択し,「インストール」ボタンを押せばよい(詳細は,同社の情報 を参照のこと)。

 なお,RealPlayer 10.5のビルド6.0.12.1056は影響を受けない。ビルド6.0.12.1053,6.0.12.1040,6.0.12.1016が影響を受ける。ビルド番号は「ヘルプ」メニューの「バージョン情報」で確認できる。

 また,同社のサイトに置かれたスキン・ファイルには“入念な検査”が実施されているので,今回のセキュリティ・ホールを突くようなファイルやウイルスに感染したファイルなどが置かれている心配はないという。

◎参考資料
RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.(米RealNetworks)
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース(日本語訳)
RealPlayer/RealOne "DUNZIP32.dll" Buffer Overflow Vulnerability(デンマークSecunia)

(勝村 幸博=IT Pro)