お使いのブラウザは最新版ではありません。最新のブラウザでご覧ください。

RealPlayerとQuickTimeにセキュリティホール

2003/04/03 11:05
  • このエントリーをはてなブックマークに追加

 映像や音声などのストリーミング情報が広く浸透する中、その再生ソフトとして人気の高いRealPlayerとQuickTimeに深刻なセキュリティホールが見つかった。

 セキュリティホールが発見されたのはRealNetworksのRealPlayerと、Apple ComputerのQuickTime Player。これらの欠陥は無関係だが、いずれも攻撃者はユーザーのパソコンで任意のコードを実行し、被害を及ぼす可能性がある。なお、プログラムを更新すれば、問題は解決するという。

 対象となるのは、RealOne Player、RealOne Player v2 for Windows、RealPlayer 8 for Windows、RealPlayer 8 for Mac OS 9、RealOne Player for Mac OS X、RealOne Enterprise Desktop Manager、RealOne Enterprise Desktop。ただし、Helix DNA Clientは対象外となっている。

 AppleのQuickTimeでは、Windows用のQuickTime Player 5.X/6.0が対象となる。Macintosh OSのQuickTimeは対象外。

 RealNetworksは、「今回のセキュリティホールで被害を受けたユーザーは確認されていない」と述べている。同社の報告書では「攻撃者は、破損した特別なPortable Network Graphicsファイルを作成することで、ヒープ破損(メモリー領域の破損)を発生させる。この結果、被害者のパソコンでコードを実行できる可能性がある」と警告している。

 「セキュリティホールのあるソフトウェアは、プレーヤーのRealPixコンポーネントで旧タイプのデータ圧縮ライブラリを使用している。最新バージョンのデータ圧縮ライブラリを使用すれば、問題を解決できる」(RealNetworks)

 QuickTime Playerのセキュリティホールは、セキュリティ会社の米iDefenseが今週発見したもの。バッファオーバーフローに脆弱性があるため、攻撃者が400字のURLを送付してシステムの割当領域をオーバランさせ、システムを支配下に置く可能性があるという。Appleは問題を解決するために「QuickTime 6.1をダウンロードしてほしい」と呼びかけている。

 ブロードバンド接続を利用して、インターネットのニュースやエンターテインメントなどのストリーミング情報を視聴するユーザーの数は、爆発的に増えている。これらの視聴に使用するデジタル・メディア・プレーヤーは、ウェブアドレスとスクリプトを受け入れるよう設計されている。このため、自己増殖が可能な、悪意のあるコードには絶好の侵入経路となる。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加
個人情報保護方針
利用規約
訂正
広告について
運営会社