RealPlayerのセキュリティホールに対するパッチが公開される

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-07-26 09:49

 デジタルメディア配信企業であるRealNetworksは同社の主力商品であるRealPlayerにある4件のセキュリティホールを修正する、優先度の高いパッチを公開した。これらの脆弱性はユーザーをコード実行攻撃の危険にさらすものだと警告している。

 このパッチは、Secuniaがこれらの脆弱性の中の1件である、RealPlayerのShockwave Flash(SWF)ファイルのフレームの処理に関する設計上の問題によって生じるヒープベースのバッファオーバーフロー脆弱性に関する勧告を発表した数時間後に公開されたものだ。

 RealNetworksによれば、4件のバグのうち少なくとも1件は、すべてのプラットフォーム(Windows、Mac OS X、Linux)に影響のあるものだという。

(参照:IE users beware: RealPlayer zero-day flaw under attack

 詳細に関する情報は、以下の2件の脆弱性に関するものしか提供されていない。

  • CVE-2008-1309:RealNetworks RealPlayer 11.0.1 build 6.0.14.794のrmoc3260.dll 6.0.10.45にあるRealAudioObjects.RealAudio ActiveXコントロールは、Consoleプロパティに対して適切にメモリを管理しておらず、リモートの攻撃者は、一連の長い文字列値を割り当てることによって、解放されたヒープメモリの上書きを引き起こし、任意のコードの実行あるいはサービス妨害(ブラウザクラッシュ)を引き起こすことが可能になる。
  • CVE-2007-5400:これはShockwave Flash(SWF)ファイルのフレームの処理に存在する設計上の問題によって生じている脆弱性で、これを利用することによってヒープベースのバッファオーバーフローを引き起こすことができる。この脆弱性の悪用に成功した場合、任意のコードを実行できる可能性がある。

 この勧告の中で、RealNetworksはCVE-2008-1309(RealPlayer の ActiveX コントロールでプロパティ ヒープ メモリが破損する可能性がある)とCVE-2008-3064(RealPlayer ActiveX のインポート メソッドで、バッファ オーバーフローが発生する可能性がある)についても挙げている。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  2. ビジネスアプリケーション

    ITR調査結果から導くDX浸透・定着化-“9割の国内企業がDX推進中も成果が出ているのはごく一部”

  3. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  4. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

  5. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]