2005年11月12日(土) 13時52分
RealPlayerに3種類の脆弱性(ITmediaエンタープライズ)
RealPlayerとRealOne Playerに3種類の脆弱性が発見された。セキュリティ企業のFrSIRTがアドバイザリーで報告している。Windows版、Mac版、Linux版が影響を受け、FrSIRTではランクを危険度が最も高い「重大」としてパッチの適用か最新システムへのアップデートを推奨している。
脆弱性の1番目は、Real Mediaファイルに含まれた不正なデータパケットを処理した場合、スタックオーバーフローが起き、これを悪用するとリモートから任意のコマンド実行が可能になる。
ユーザーを不正なWebサイトに誘導し、細工を施した「.rm」ファイルをダウンロードさせることで、脆弱性を持つRealPlayerが搭載されたマシンを攻撃することが可能だという。
残り2種類は、スキンファイルの処理に関連するもの。
2番目の脆弱性は「DUNZIP32」ライブラリのヒープオーバーフローのエラーによるもので、不正なRealPlayerスキンファイルを適切に処理できないことから起きる。細工を施した「.rjs」ファイルをダウンロードさせ、コマンド実行を仕掛けることが可能だ。
3番目は、特定されないスタックオーバーフローが不正なスキンファイルを実行するときに起きる。これを悪用するとリモートからの侵入が可能となる。
http://www.itmedia.co.jp/enterprise/
(ITmediaエンタープライズ) - 11月12日13時52分更新
http://headlines.yahoo.co.jp/hl?a=20051112-00000006-zdn_ep-sci