リアルネットワークスは25日、脆弱性の修正を含むRealPlayerの最新版の提供を開始したと発表した。
同社によると、脆弱性の影響を受けるのは、Windows版のRealPlayer 11(6.0.14.738~6.0.14.802)、RealPlayer 10.5(6.0.12.1040~6.0.12.1663、6.0.12.1698、6.0.12.1741)、RealPlayer 10、およびMac版のRealPlayer 10.1(10.0.0.396~10.0.0.503)、RealPlayer 10(10.0.0.305~10.0.0.352)など。Windows版のRealPlayer 11.0.3(6.0.14.806)、RealPlayer 10.5(6.0.12.1675)、およびMac版のRealPlayer 11には影響しない。
Windows版はメニューの[ヘルプ]→[バージョン情報]で、Mac版はメニューの[バージョン情報]で、使用中のRealPlayerのバージョン番号を確認できる。
最新版へのアップデートは、Windows版RealPlayer 10.xでは、[ツール]メニューの[アップデートをチェック]で「RealPlayer 10.5コンポーネント」をインストールする。Windows版RealPlayer 11では、自動更新機能でのアップデートは行えず、最新版の10.0.3を手動でダウンロード。Mac版のRealPlayer 10は、手動でRealPlayer 11をダウンロードしインストールする必要がある。
今回、公表された脆弱性は4件。うち1件は、Windows/Macの10.xに共通するもので、Shockwave Flashファイル(SWF)の処理でヒープベースのバッファオーバーフローが発生するというもの。悪用されると、任意のコードを実行されるおそれがある。
残り3件はWindows版の問題で、RealPlayer 11にはその中のActiveXコントロールのプロパティでヒープベースのバッファオーバーフローが発生する脆弱性のみが影響する。当該脆弱性は、SQLインジェクション攻撃による正規サイト改ざんで、5月ごろからブラウザの攻撃コードに悪用されていたもので、RealPlayer 11.0.2のActiveXコントロール(rmoc3260.dll バージョン6.0.10.50)で対処されているとシマンテックが報告していた。
11.0.3では、当該ActiveXコントロールに対する新たな更新はなく、関連ファイルと見られるRealPlayer側のプラグイン「rpap3260.dll」「rpds3260.dll」「rput3260.dll」の3ファイルが更新されている。修正内容の詳細については、公表されていない。
(2008/07/28 ネットセキュリティニュース)
■RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース(RealNetworks)
http://service.real.com/realplayer/security/07252008_player/ja/