RealPlayerとQuickTimeにセキュリティホール

　映像や音声などのストリーミング情報が広く浸透する中、その再生ソフトとして人気の高いRealPlayerとQuickTimeに深刻なセキュリティホールが見つかった。

　セキュリティホールが発見されたのはRealNetworksのRealPlayerと、Apple ComputerのQuickTime Player。これらの欠陥は無関係だが、いずれも攻撃者はユーザーのパソコンで任意のコードを実行し、被害を及ぼす可能性がある。なお、プログラムを更新すれば、問題は解決するという。

　対象となるのは、RealOne Player、RealOne Player v2 for Windows、RealPlayer 8 for Windows、RealPlayer 8 for Mac OS 9、RealOne Player for Mac OS X、RealOne Enterprise Desktop Manager、RealOne Enterprise Desktop。ただし、Helix DNA Clientは対象外となっている。

　AppleのQuickTimeでは、Windows用のQuickTime Player 5.X／6.0が対象となる。Macintosh OSのQuickTimeは対象外。

　RealNetworksは、「今回のセキュリティホールで被害を受けたユーザーは確認されていない」と述べている。同社の報告書では「攻撃者は、破損した特別なPortable Network Graphicsファイルを作成することで、ヒープ破損（メモリー領域の破損）を発生させる。この結果、被害者のパソコンでコードを実行できる可能性がある」と警告している。

　「セキュリティホールのあるソフトウェアは、プレーヤーのRealPixコンポーネントで旧タイプのデータ圧縮ライブラリを使用している。最新バージョンのデータ圧縮ライブラリを使用すれば、問題を解決できる」（RealNetworks）

　QuickTime Playerのセキュリティホールは、セキュリティ会社の米iDefenseが今週発見したもの。バッファオーバーフローに脆弱性があるため、攻撃者が400字のURLを送付してシステムの割当領域をオーバランさせ、システムを支配下に置く可能性があるという。Appleは問題を解決するために「QuickTime 6.1をダウンロードしてほしい」と呼びかけている。

　ブロードバンド接続を利用して、インターネットのニュースやエンターテインメントなどのストリーミング情報を視聴するユーザーの数は、爆発的に増えている。これらの視聴に使用するデジタル・メディア・プレーヤーは、ウェブアドレスとスクリプトを受け入れるよう設計されている。このため、自己増殖が可能な、悪意のあるコードには絶好の侵入経路となる。