|
RealPlayer 8 に影響を与えるバッファ オーバーラン セキュリティ ホール
最終更新日: 2002 年 1 月 25 日
2002 年 1 月 17 日に RealPlayer 8 に影響を与えるセキュリティ ホールが RealNetworks に報告されました。
一般に「バッファ オーバーラン」として知られているセキュリティ ホールが RealPlayer ユーザのマシンにおいて攻撃者による任意のコードを実行することを可能としていました。
RealNetworks に、まだ誰からも実際にこのセキュリティ ホールで攻撃されているといった報告はされておりませんが、この問題を発見し、修正いたしました。
本質的には、このバグは RM ファイルの読み込みに関連するプレーヤー コードの構文解析エラーです。これは一般的にはハッカーによってユーザに悪影響を及ぼすために使われるセオリーである「バッファ オーバーラン」バグとして知られています。
このバグはファイル構文解析の強靭性を高めることによって修正されました。この修正により、RealPlayer がこのセキュリティ ホールを利用したファイルに遭遇した際には、再生時に利用者に対してファイルが不正であることを通知します。
影響を与えるソフトウェア:
下記のバージョンの RealPlayer に影響を与えます。
Windows
- RealOne Player (βバージョン)
- RealPlayer 8
- RealPlayer 7
- RealPlayer G2 (Build 6.0.6.99 以上)
- RealPlayer Intranet 8
- RealPlayer Intranet 7
Macintosh
- RealPlayer 8
- RealPlayer 7
UNIX
- RealOne Player (αバージョン) for Linux 2.2
- RealPlayer 8 for UNIX
- RealPlayer 7 for UNIX
回避策:
弊社ではこのセキュリティ ホールで実際に攻撃されたといったレポートを誰からも受けておりません。しかしながら RealPlayer のセキュリティが確保されることを保証するために、弊社では利用可能なアップデートをインストールすることを勧めます。
Windows / Machintosh 版 RealPlayer と RealOne Player
Windows / Machintosh プラットフォームにおける RealPlayer 8 と RealOne Player のためのアップデートは RealPlayer オート アップデート サービスで利用可能です。
- RealOne Player ユーザー:
"RealMedia File Format Update" をダウンロードするために、[Tools] (ツール) を開いて [Check for Update] (アップデートをチェック) を選択してください。オート アップデート ダイアログ ボックスで "RealMedia File Format Update" を選択し、ダイアログ下部の [Install] (インストール) ボタンを押してダウンロードし、アップデートをインストールしてください。
- RealPlayer 8 ユーザー:
"RealMedia File Firmat Update" をダウンロードするために、[ヘルプ] を開いて [アップデートのチェック] を選択してください。オート アップデート ダイアログ ボックスで "RealMedia File Format Update" を選択し、ダイアログ右上部の [今すぐ入手] ボタンを押してダウンロードし、アップデートをインストールしてください。
注意:
2002 年 1 月 31 日現在、日本語版 RealPlayer 8 ではこのアップデートがまだ公開されておりません。近日中に公開される予定です。
(対応をお急ぎの方は下記の RealPlayer Intranet 用の回避策を適用してください)
- RealPlayer 7 と RealPlayer G2 ユーザー:
これらのバージョンにおいて、このアップデートは用意される予定はありません。www.jp.real.com から RealOne Player か RealPlayer 8 をダウンロードしてください。
- RealPlayer Intranet:
もし、RealPlayer Intranet (Ver 7 と Ver 8) をご利用の場合、下記で利用可能となっているライブラリをダウンロードして既存のものと入れ替えてください。ファイルを入れ替えるために、(システム ドライブが C: の場合) "C:\Program Files\Common Files\Real\Plugins" ディレクトリにそれをコピー (上書き) してください。
- rmff3260.dll
UNIX 版 RealPlayer と RealOne Player
- RealPlayer for UNIX:
RealPlayer 8 for UNIX または RealOne Player (αバージョン) for Linux をご利用の場合、下記で利用可能となっている適切なライブラリをダウンロードしてください。アップデートを利用するためには、ファイル "rmffplin.so.6.0" を "~/RealPlayer8/Plugins" ディレクトリ、あるいは RealPlayer をインストールしたディレクトリの Plugins サブディレクトリにコピー (上書き) してください。
RealOne Player: RealOne Player (αバージョン) for Linux 2.2
RealPlayer 8: Linux 2.0 (libc6 i386)
RealPlayer 8: Linux 2.2 (libc6 i386)
Solaris 2.6 (Sparc) - 近日公開予定
Solaris 7 (Sparc) - 近日公開予定
HP-UX 11 - 近日公開予定
残念ながら、弊社では現時点で正式にサポートしていないプラットフォーム上で利用可能な全ての RealPlayer に対して本アップデートを提供することができません。
UNIX 上で RealPlayer 7 またはそれ以前の Player をご利用の場合、RealPlayer 8 あるいは RealOne Player に更新していただき、そして上記のライブラリを適用して下さい。
謝辞:
機密性の高い情報や専有の情報への無許可アクセスから顧客を守るために、この件をレポートし、我々と共に働いてくれた Tim Morgan 氏に RealNetworks は感謝します。
保証:
RealNetworks 社では、お客様に最高品質の製品とサービスを提供するために最善の努力をしております。しかし、RealNetworks 社の製品がエラーを起こさず、安全に、かつ確実に動作することを保証するものではありません。弊社の補償範囲および免責条項につきましては、お手元のライセンス契約書をご覧ください。
|
