米RealNetworksは6月23日(現地時間),同社の音声/動画再生ソフト「RealPlayer」および「RealOne Player」に存在する複数のセキュリティ・ホールを公表した。音声や映像ファイルに埋め込まれた任意のコードを実行される恐れがあるため,それらのファイルが埋め込まれたWebページやメールを開くだけでウイルス感染などの被害を受ける可能性がある。対策は最新版にバージョン・アップすることなど。
今回報告されたセキュリティ・ホールは4点。
(1) 悪意のある作成者が作ったmp3ファイルを再生すると,ユーザーのパソコン上にあるファイルの上書きまたはActiveXコントロールの実行が行われる。
(2) 悪意のある作成者が作ったRealMediaファイルによりヒープ・オーバーフローが引き起こされ,ユーザーのパソコン上で任意のバイナリ・コードが実行されてしまう。
(2) 悪意のある作成者が作ったAVIファイルによりバッファ・オーバーフローが引き起こされ,ユーザーのパソコン上で任意のバイナリ・コードが実行されてしまう。
(3) 以前のInternet Exploereのデフォルト設定を使用している場合に,悪意があるWebサイトを閲覧すると,ユーザーのパソコン上にHTMLファイルが作成され,次にこのローカルHTMLファイルを参照するRMファイルが再生される可能性がある。
RealNetworksによれば,影響を受けるソフトウエアは以下のとおり。
Windows版のRealPlayer 10.5 (6.0.12.1040-1069),RealPlayer 10,RealOne Player v2,RealOne Player v1は,(1)~(4)のすべてのセキュリティ・ホールの影響を受ける。RealPlayer 8,RealPlayer Enterpriseは(2),(3),(4)の影響を受ける。
Windows版の最新ビルドRealPlayer 10.5 (6.0.12.1212)ではこのセキュリティ・ホールはすべて修正されている。日本語版RealPlayer 10.5の最新ビルドも6.0.12.1212である。
Rhapsody 3 (build 0.815 - 0.1006)は(3)のセキュリティ・ホールの影響を受ける。最新ビルドRhapsody 3 (build 0.1141)では修正済み。旧バージョンRhapsody 2は影響を受けない。
Macintosh版のMac RealPlayer 10 (10.0.0.305 - 331)およびMac RealOne Playerは(2)のセキュリティ・ホールの影響を受ける。
Linux版のLinux RealPlayer 10 (10.0.0 - 4)およびHelix Player (10.0.0 - 4)は(2)のセキュリティ・ホールの影響を受ける。Linux RealPlayer 10 (10.0.5)およびHelix Player (10.0.5)では修正されている。
モバイル機器,Nokia Series60 HandsetsおよびPalmに搭載されているRealPlayerおよびRealOne Playerには今回のセキュリティ・ホールは影響しない。
各ソフトウエアのバージョンおよびビルド番号は,メニューバーから「ヘルプ」メニューの「バージョン番号」を選ぶと表示される。アップデートは「ツール」メニューの「アップデートをチェック」を選ぶことでチェックされ,実行される。
◎関連情報
◆RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース(RealNetworks)
◆RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.(RealNetworks)
