最新版の「RealPlayer 11」に未修正の脆弱性が見つかったとして、セキュリティベンダーや機関が注意を呼びかけている。
脆弱性の詳細については不明だが、何らかのデータ処理でバッファオーバーフローが起こり、クラッシュやコード実行のおそれがある。問題はRealPlayer 11の最新版、ビルド「6.0.14.748」で報告されているが、他のバージョンにも影響すると見られる。
フランスのFrSIRTは当該脆弱性を最も深刻な「Critical」、デンマークのSecuniaは5段階の上から2番目の「Highly critical」と評価し、信頼できないメディアファイルやウェブサイトを開かないよう注意を促している。
米国のSANS Instituteは4日、当該脆弱性について警告するとともに、ゼロデイ攻撃の懸念を指摘する。昨年末からRealPlayerの脆弱性を突く攻撃が盛んに行われており、多数のサイトに攻撃サイトへの誘導コードが埋め込まれている。現行の攻撃は、昨年10月に修正された脆弱性を悪用したものだが、新たな脆弱性攻撃に移行するようなことがあれば、事態は相当悪化するかもしれない。
(2008/01/07 ネットセキュリティニュース)
■RealPlayer Unspecified Data Processing Buffer Overflow Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2008/0016
■RealPlayer Unspecified Buffer Overflow Vulnerability[英文](Secunia)
http://secunia.com/advisories/28276/
■Realplayer Vulnerability[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=3810