米RealNetworksは米国時間4月19日,同社の音声/動画再生ソフト「RealOne Player」や「RealPlayer」などにバッファ・オーバーフローのセキュリティ・ホールが見つかったことを公表した(日本語情報)。細工が施されたRAM(.ram)ファイルを読み込むと,ファイルに仕込まれた悪質なプログラムを実行させられる可能性がある。対策は同社が提供するアップデートを適用すること。Windows版に限らず,Mac版やLinux版も影響を受けるので要注意。
今回見つかったセキュリティ・ホールの影響を受けるのは,Windows版については,(1)RealPlayer 10.5 (バージョン番号6.0.12.1040~6.0.12.1059),(2)RealPlayer 10,(3)RealOne Player v2,(3)RealOne Player v1(英語版のみ),(4)RealPlayer 8,(5)RealPlayer Enterprise(英語版のみ)。バージョン番号が「6.0.12.1069」のRealPlayer 10.5は影響を受けない。「6.0.12.xxxx」といったバージョン番号は,「ヘルプ」メニューで「バージョン情報」を選択すれば確認できる。
Mac版については,(1)Mac 用 RealPlayer 10 (10.0.0.305~10.0.0.331)および(2)Mac 用 RealOne Player(英語版のみ)が影響を受ける。Linux版については,(1)Linux 用 RealPlayer 10 (バージョン番号10.0.0~10.0.3),(2)Helix Player(バージョン番号10.0.0~10.0.3)が影響を受ける。バージョン番号が「10.0.4」のLinux 用 RealPlayer 10およびHelix Player は影響を受けない。
今回のセキュリティ・ホールは,RealOne Playerなどに含まれる,RAMファイルを処理するライブラリが原因。このライブラリにはバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたRAMファイルを読み込むと,RealOne Playerなどをハングアップさせられたり,任意のプログラムを実行させられたりする恐れがある。
RAMファイルはWebページから呼び出せるので,攻撃者のWebページにアクセスしたり,リンクをクリックしたりするだけで,悪質なRAMファイルを読み込まされる可能性がある。注意したい。なおRealNetworksでは,今回のセキュリティ・ホールが悪用されたという報告は受けていないという。
対策は,RealNetworksが提供するアップデート・プログラムを適用すること。Windows版のRealOne Playerv1/v2,RealPlayer 8/10/10.5については,それぞれの「ツール」メニューから「アップデートをチェック」を選択すれば,アップデート・プログラムをダウンロードできる。 Mac OS X 用 RealPlayer 10 についても,同製品のメニューからダウンロードできる(詳細については同社の情報を参照のこと)。
これら以外の製品用アップデートについては,セキュリティ情報のページ(日本語訳)からダウンロードできる。メニューからダウンロードできる製品についても,同ページからダウンロードできる。
◎参考資料
◆RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.
◆RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
(勝村 幸博=IT Pro)
