RealPlayer、RealOne Playerにセキュリティ脆弱性～アップデートで解決

■URL
http://service.real.com/help/faq/security/03272003/Japanese/march2003_update.html

　米Real Networksは、メディア再生ソフト「RealOne Player」および「RealPlayer」で発見されたセキュリティ脆弱性について発表した。この問題に対応したバージョンにアップデートすることで解決する。

　この脆弱性は、細工されたPNGファイルを開くことでヒープ破損（プログラムのメモリ領域の破損）が発生し、ユーザーのマシン上で攻撃者による任意のコードが実行される可能性があるというもの。RealPlayerのコンポーネントの１つである「RealPix」のデータ圧縮ライブラリに、セキュリティ度の低い旧バージョンが利用されていることに起因するという。

　RealNetworksによれば、この問題は3月7日に同社に報告されたという。これまでこの問題を原因とした損害は報告されていないが、同社でこの問題を確認、脆弱性を修正したアップデート版を作成したことから、広く公表する形となった。

　この問題の影響を受けるソフトは以下のとおり。なお「Helix DNA Client」はこの問題の影響を受けないという。

・Windows用RealOne Player、およびRealOne Player v2（すべての言語版）
・Windows用RealPlayer 8（すべての言語版）
・MacOS 9用RealPlayer 8
・Mac OS X用RealOne Enterprise Desktop Manager、およびRealOne Enterprise Desktop（すべてのバージョン）

　対策は、Windows版の場合、ソフトの「ツール」から「アップデートをチェック」を選択し、「2003年3月のセキュリティアップデート」をインストールすることで解決する。Macintosh版の場合は、Webサイトからアップデート版をダウンロードしてインストールする必要がある。なおこれ以前のバージョンに関しては、最新版のRealOne Playerにアップデートしてからセキュリティアップデートを行なうことを推奨している。

◎関連記事
■RealPlayerにバッファーオーバーランのセキュリティホール

(2003/3/31)

[Reported by aoki-m@impress.co.jp]