2004年06月11日(金) 23時30分

「RealOnePlayer」や「RealPlayer」などに任意のコードを実行できる脆弱性（impress Watch）

写真:インプレス 　 　米RealNetworksは9日、同社製マルチメディアプレイヤー「RealOnePlayer」や「RealPlayer」などに任意のコードを実行できる脆弱性があるとし、修正プログラムを公開した。なお「RealOnePlayer」や「RealPlayer」に修正プログラムを適用するには、現在のところ本ソフトのオートアップデート機能を利用するのみ。

　本脆弱性の影響を受けるのは、「RealOne Player」英語版、「RealOne Player」v2、「RealPlayer 10」英・独・日本語版、「RealPlayer 8」、「RealPlayer Enterprise」。ただし、「RealPlayer 8」には修正プログラムが提供されないので、オートアップデート機能などを利用して「RealPlayer 10」にバージョンアップする必要がある。

　脆弱性の内容は、本ソフトが確保するメモリ領域“ヒープ”上に、同梱ファイル“embd3260.dll”がエラーメッセージを上書きできるというもの。本脆弱性は、特別に細工を施したRAM形式の動画ファイルをユーザー側が再生することが引き金となり発生し、攻撃者がリモートで任意のコードを実行できてしまう。

　なお現在、同社日本語サイトからダウンロードできるソフト本体は「RealPlayer 10」のみになっており、Windows 98/Me/NT 4.0/2000/XPに対応するフリーソフト。

□Real.com - RealOnePlayer is now RealPlayer

http://japan.real.com/player/

□カスタマー サポート - RealOne セキュリティ アップデート

http://service.real.com/help/faq/security/040610_player/JA/

（中井 浩晶）（impress Watch）

http://headlines.yahoo.co.jp/hl?a=20040611-00000025-imp-sci