米RealNetworksは米国時間3月22日,同社の音声/動画再生ソフト「RealOne Player」や「RealPlayer」,「Helix Player」,「Rhapsody」に複数のセキュリティ・ホールが見つかったことを明らかにした(日本語訳)。細工が施されたファイルやWebページを開くだけで,悪質なプログラム(ウイルスなど)を実行される可能性がある。対策は,同社が提供するアップデートを適用すること。Windows,Mac,Linux版が影響を受ける。
影響を受ける製品は以下の通り。
- RealPlayer 10.5(バージョン6.0.12.1040-1348)
- RealPlayer 10
RealOne Player v2 - RealOne Player v1
- RealPlayer 8
- RealPlayer Enterprise
- Rhapsody 3(ビルド0.815-1.0.269)
- Mac用RealPlayer 10(バージョン10.0.0.305-331)
- Mac用RealOne Player
- Linux用RealPlayer 10(バージョン10.0.6)
- Helix Player(バージョン10.0.6)
- Linux用RealPlayer 10(バージョン10.0.0-5)
- Helix Player(バージョン10.0.0-5)
各製品のバージョンやビルドは,「ヘルプ」メニューあるいは「RealPlayer」メニューの「バージョン情報」から確認できる。
今回公表されたセキュリティ・ホールは4種類。
(1)RealPlayerのパス(フォルダ/ディレクトリ)に置かれたプログラムが実行される可能性があるセキュリティ・ホール
(2)SWFファイルの処理に関するバッファ・オーバーフローのセキュリティ・ホール
(3)Webページの処理に関するバッファ・オーバーフローのセキュリティ・ホール
(4)MBCファイルの処理に関するバッファ・オーバーフローのセキュリティ・ホール
これらのセキュリティ・ホールを悪用されると,細工が施されたSWFファイルやMBCファイルを開くだけで,あるいは,細工が施されたWebページにアクセスするだけで,攻撃者が仕掛けた任意のプログラムを実行される可能性がある。
対策は,同社が公開するアップデートをインストールすること。各製品の「ツール」メニューや「ヘルプ」メニューなどから「アップデートをチェック」を選択すればインストールできる(詳細は,同社の情報を参照のこと)。
Linux用RealPlayerやHelix Playerについては,セキュリティ・ホールを修正した最新版をダウンロードしてインストールする必要がある。
◎参考資料
◆RealNetworks Releases Product Updates.
◆RealNetworks, Inc.,セキュリティ脆弱性に対応するアップデートをリリース