3月に見つかったRealPlayerの深刻な脆弱性が公表直後に修正され、すでに最新版の「RealPlayer 11.0.2」が公開されていたことがわかった。リアルネットワークスからは昨年10月以来、セキュリティアップデートのアナウンスはなく、RealPlayerのアップデート確認機能での通知もない。
問題の脆弱性は、Internet ExplorerからRealPlayerを使用するためのActiveXコントロール「rmoc3260.dll」でバッファオーバーフローが起こり、コード実行のおそれがあるというもの。3月10日にクラッシュさせる実証コードが公開され、今月1日には、脆弱性を悪用する危険な攻撃コードがネット上で公開された。
国内で頻発している正規サイト改ざんによる不正なコードの埋め込みでは、悪質なプログラムのインストールにさまざまな脆弱性が悪用されており、RealPlayerの脆弱性もそのひとつに含まれている。これまでは、もっぱら昨年修正された脆弱性が悪用されていたが、新たな攻撃コードに置き換えられた場合には、被害が一気に拡大するおそれがある。
セキュリティベンダーのシマンテックは3日、同社の公式ブログで攻撃コード出現の注意を呼びかけるとともに、脆弱性の影響を受けない「rmoc3260.dll バージョン6.0.10.50」を含むRealPlayerの最新版が公開されていることを報告した。編集部で確認したところ、日本語版も3月19日ごろから配布されていたらしく、「rmoc3260.dll」の問題は3月14日に修正が加えられてることを確認した。
RealPlayerの最新版「11.0.2」は、4日昼現在、RealPlayerのアップデート確認機能「アップデートをチェック」では通知されず、下記ページから直接ダウンロードし再インストールする必要がある。「ヘルプ」メニューの「RealPlayerのバージョン情報」で「11.0.2」未満の方は、再インストールをお勧めする。
(2008/04/04 ネットセキュリティニュース)
■リアルネットワークス
・リアルプレーヤー (RealPlayer) 無料版 - ダウンロード
http://www.jp.real.com/downloadRP/download2.html?src=jp_rp11_playerpg_1
・RealPlayer
http://www.jp.real.com/realplayer.html
・RealPlayer セキュリティ アップデート(RealNetworks)
http://service.real.com/realplayer/security/ja/
■Unpatched RealPlayer Vulnerability Being Exploited in the Wild[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2008/04/unpatched_realplayer_vulnerabi.html
■脆弱性情報(英文)
・CVE-2008-1309
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1309