米RealNetworksは米国時間3月1日,同社の音声/動画再生ソフト「RealOne Player 」や「RealPlayer」,「Helix Player」に危険なセキュリティ・ホールが見つかったことを明らかにした日本語訳)。細工が施されたファイルを読み込むと,そのファイルに仕込まれた任意のプログラムを実行させられる。そのファイルが置かれたWebページにアクセスするだけでも被害を受ける恐れがある。対策は,同社が公開するアップデートを適用すること。

 今回公表されたセキュリティ・ホールの影響を受けるのは,「RealOne Player v1/v2」,「RealPlayer 8/10/10.5」,「Helix Player」――。Windows版/Mac版/Linux版のいずれも影響を受ける可能性がある。影響を受けるバージョンについては,同社の公開情報を参照のこと。

 今回の公表されたセキュリティ・ホールは2種類。(1)WAVファイルル[用語解説] の処理に関するセキュリティ・ホールと(2)SMILファイル[用語解説] の処理に関するセキュリティ・ホールである。なお,Mac版は(2)の影響しか受けない。

 いずれもバッファ・オーバーフローのセキュリティ・ホールなので,細工が施されたWAVファイルあるいはSMILファイルを読み込むだけで,そのファイルに仕込まれた任意のプログラムを実行させられる可能性がある。

 (2)のセキュリティ・ホールを発見した米iDEFENSEの情報によれば,悪質なSMILファイルが置かれたWebサイトへアクセスするだけで,任意のプログラムを実行させられる恐れがあるという。特に,Internet Explorerでアクセスした場合には,ユーザーに警告を出すことなく,SMILファイルがRealPlayer/RealOne Playerに読み込まれる。

 対策は,同社が公開するアップデートを適用すること。あるいは,アップデート適用済みのバージョンをインストールすること。詳細については同社の情報を参照してほしい。

◎参考資料
Releases Update to Address Security Vulnerabilities(米RealNetworks)
セキュリティ脆弱性に対応するアップデートをリリース(日本語訳)
RealNetworks RealPlayer .smil Buffer Overflow Vulnerability(米iDEFENSE)

(勝村 幸博=IT Pro)