RealPlayerに欠陥--PCがハイジャックされるおそれあり

Robert Lemos(CNET News.com)2004年02月06日 13時20分

 RealNetworksは米国時間4日、同社の複数のメディアプレーヤーに影響を与える3つの欠陥があることを認めた。攻撃者がこの欠陥を悪用して、不正な音楽・ビデオファイルをつくれるというもので、こうしたファイルを再生すると被害者のPCが乗っ取られてしまうおそれがある。

 英国に本社を置くNext-Generation Security Softwareが発見したこれらの欠陥は、RealNetworksのRealOne Player、RealOne Playerバージョン2、RealPlayer 8、RealPlayer 10 Beta、そしてRealOne Enterprise製品に影響を与える。この欠陥を悪用するために、攻撃者はあるやり方でメディアファイルの中にデータを作成する。そして、この不正なファイルを脆弱性を抱えたRealPlayerで再生もしくはストリームで流すと、攻撃者の埋め込んだコードが実行され、ファイルを再生したPCに被害を与えるという。

 「このようなファイルの含んだウェブサイトを、ブラウザに強制的に表示させることにより、サイトにログオンしたユーザーのマシン上で、コードが実行されてしまう可能性がある」と、NGSSoftwareの勧告には書かれている。

 この脆弱性は、同メディアプレーヤーの登録ユーザー3億5000万人の大部分に影響を与える可能性があるが、RealNetworksではこのうちの何人が脆弱なバージョンを使っているかについては明らかにしていない。

 同社の広報担当、Erika Shafferは5日、「これまでのところ、我々の元には問題発生の報告は届いていない。しかし、我々はセキュリティを非常に重視しており、この問題を修正したいと考えている」と語った。

 この欠陥が悪用されるのは、RealAudio(RAM)ファイル、RealAudio Plugin(RPM)ファイル、RealPix(RP)ファイル、RealText(RT)ファイル、あるいはSMILファイルの5つのタイプのいずれかで、特殊な方法で作成したメディアファイルを扱った場合だ。

 RealNetworksは、自社のウェブサイトでRealPlayerソフトウェアのアップデート手順を公表している。

 

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]