米iDefenseは現地時間26日、リアルネットワークスのメディアプレーヤー「RealPlayer」およびオープンソース版の「HelixPlayer」の脆弱性を公表した。
iDefenseなどによると、マルチメディアコンテンツの同期再生を行うSMIL(Synchronized Multimedia Integration Language~スマイル)の処理に問題があり、スタックベースのバッファオーバーフローが発生。細工されたSMILファイル(.smi または .smil)を開いたりストリーム再生を行うと、クラッシュやコード実行のおそれがある。
当該脆弱性は、現在配布されている最新版では修正されているが、リアルネットワークスは昨年3月以降セキュリティ問題の告知をしておらず、どの時点で修正されたのかは分からない。オートアップデート機能を無効にしているユーザーは、RealPlayerの[ツール]メニューから[アップデートをチェック]を実行し、指示にしたがってRealPlayerを最新版に更新しておくことをお勧めする。
現在配布されているWindows版のRealPlayerは、「バージョン10.5/ビルド6.0.12.1483」で、5月10日に更新されたもの。使用中のRealPlayerのバージョンは、[ヘルプ]メニューの[RealPlayerのバージョン情報]で確認できる。
(2007/06/29 ネットセキュリティニュース)
■脆弱性に関するアドバイザリ(英文)
・iDefense
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=547
・Secunia
http://secunia.com/advisories/25819/
・FrSIRT
http://www.frsirt.com/english/advisories/2007/2339
・US-CERT
http://www.kb.cert.org/vuls/id/770904
■RealPlayer公式サイト
http://www.real.com/index.html