RealNetworksは20日、RealPlayerのアップデート情報を公開した。対象となるのは、Windows版のRealPlayer 10/11/SP1/Enterprise、Macintosh版のRealPlayer 10/11、Linux版のRealPlayer 10/11、Helix Player 10/11。下記アップデート情報のページから、それぞれの最新版に更新できる。
同社がアップデート情報を公開するのは1年半ぶり。この間に、ASM Rulebook、GIF画像、RealPlayerメディア、SIPRコーデック、SMIL解析、スキン、RTSPパラメータなどの処理で発生するバッファオーバーフローの問題、計11件が修正された。
いずれも、悪用されると任意のコードを実行されるおそれのある問題で、この中には、昨年2月にFortinetなどがアドバイザリを公開した、IVRファイルの脆弱性2件も含まれている。この脆弱性は、当時の最新版で修正済であることが指摘され、Fortinetなどが最新版へのアップデートを促していたが、RealNetworksからは情報が公開されていなかった。
Zero Day Initiativeが同日公開したアドバイザリによると、今回修正された6件の脆弱性は、2007年11月~2009年1月に同社に報告済みとなっており、どの時点でどの脆弱性が修正されたのかは分からない。RealNetworksは、これまでのところ、今回修正された脆弱性により実際にマシンに障害が発生したという報告はないとしている。
同社が今回公表した脆弱性は、昨年に公開された各プラットフォームの最新版で修正されており、Windows版のRealPlayer SP 1.0.2~1.0.5、Macintosh版のRealPlayer 11.1、Linux版のRealPlayer 11.0.2、Helix Player 11.0.2は、これら脆弱性の影響を受けない。
なお、各プラットホームの10.x、Windows版の11.xまでは、サポートが終了しているので注意していただきたい。
使用しているRealPlayerのバージョンは、ヘルプメニューの「バージョン情報」で確認できる。
(2010/01/25 ネットセキュリティニュース)
■RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース(RealNetworks)
http://service.real.com/realplayer/security/01192010_player/ja/
http://jp.real.com/downloadRP/Mac.html