Internet Watch logo
記事検索
最新ニュース

RealPlayerに複数の脆弱性、外部からコードが実行される恐れも


 米RealNetworksは10日、「RealPlayer」「RealOne Player」「RealPlayer Enterprise」などに複数の「バッファオーバーフローの脆弱性」があることを公表した。脆弱性を発見した米eEye Digital Securityによると、いずれも任意のコードが実行されてしまう恐れがあり、危険度は高いという。RealNetworksではこれを受けてセキュリティアップデートを公開した。同社サイトなどからダウンロードできる。

 今回、eEyeが指摘した脆弱性は2件。同社によると、1件はRM形式ファイルに含まれるファーストデータパケットに特殊なフローが存在しており、不正なRM形式ファイルによってスタックオーバーフローが引き起こされる可能性がある。悪用されると外部から任意のコードが実行されてしまう恐れもあるという。

 Windows版の「RealPlayer 10.5(ビルド6.0.12.1040~6.0.12.1235)」「RealPlayer 10」「RealOne Player v2」「RealOne Player v1」「RealPlayer 8」「RealPlayer Enterprise」のほか、Mac OS版「RealPlayer 10」、Linux版「RealPlayer 10(ビルド10.0.0~10.0.5)」「Helix Player(10.0.0~10.0.5)」に影響を及ぼす。

 もう1件の脆弱性は、ZIP形式で圧縮されたスキンファイルを処理する際に発生する。攻撃者によって細工された上記ファイルを展開すると、ヒープオーバーフローが発生する場合があり、悪用されると外部から任意のコードが実行されてしまう恐れもあるという。

 なお、こちらの脆弱性はWindows版の「RealPlayer 10.5(ビルド6.0.12.1040~6.0.12.1235)」「RealPlayer 10」「RealOne Player v2」「RealOne Player v1」「RealPlayer 8」に影響がある。


関連情報

URL
  RealNetworksによる「RealPlayer 10.5」などの脆弱性情報(英文)
  http://service.real.com/help/faq/security/051110_player/EN/
  RealNetworksによる「Realplayer Enterprise」の脆弱性情報(英文)
  http://service.real.com/help/faq/security/security111005.html
  eEye Digital Securityのアドバイザリ(英文)
  http://www.eeye.com/html/research/advisories/AD20051110a.html
  eEye Digital Securityのアドバイザリ(英文)
  http://www.eeye.com/html/research/advisories/AD20051110b.html

関連記事
RealPlayerに深刻な脆弱性、修正プログラムを公開(2005/06/24)
RealPlayerにバッファオーバーフローの脆弱性、Secuniaでは危険度“高”(2005/04/20)


( 鷹木 創 )
2005/11/11 13:34

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.