RealOne Playerなどに重大なセキュリティホール 22
ストーリー by yourCat
穴があく程見つめたから 部門より
穴があく程見つめたから 部門より
Anonymous Coward 曰く、 "Core Security Technologies Advisoryによると RealOne Player、RealPlayer8 にセキュリティホールが発見されたようです。RealPlayer のコンポーネントである RealPix のデータ圧縮ライブラリのバグにより、不正に細工された PNG ファイルを読み込むことによって、ヒープ破損 (メモリー) が発生し、攻撃者によりユーザー権限 (RealPlayerの実行権限) 下で任意のコードが実行される可能性があるということです。影響範囲は以下の通り。
- Windows 用 RealOne Player および RealOne Player v2 (すべての言語版)
- Windows用 RealPlayer 8 (すべての言語版)
- Mac OS 9 用 RealPlayer 8
- Mac OS X 用 RealOne Player
- Enterprise Desktop Managerおよび RealOne Enterprise Desktop (すべてのバージョン)
現時点では被害報告は無いようですが、RealNetworks では重大な問題だと認識しているようです (RealNetworksの日本語のアドバイザリー、RealNetworksのアドバイザリー)。
このアドバイザリーにアップデートの手順が公開されています。RealOne Desktop Manager および RealOne Enterprise Desktop 用のアップデートは、来週中にリリース予定のようです。また、これ以前のものは、一旦最新バージョンの RealOne Player にアップデートした後、上記のセキュリティアップデートをおこなうことが推奨されています。"
Helix DNA Clientはこの影響を受けない。
セキュリティアップデートの提供方法 (スコア:4, 参考になる)
このボタンを押すと、Real One Playerにアップデートしようというトラップが出ますが、意外にもここで「閉じる」ボタンを押せば、コンポーネントごとのアップデート選択画面が現れますね。そしてそこに「セキュリティアップデート - 2003年3月」という項目が用意されていると。ふむふむ。
そこに「セキュリティ情報」というボタンがあって、これを押すとセキュリティアドバイザリーのWebページが開くのかな。……と思ったら、なんか違うページ(プライバシーポリシーのページ)が開くなあ。
Re:セキュリティアップデートの提供方法 (スコア:2, 興味深い)
確かに「閉じる」を押せばいいんですけど(私も押して始めて「あ、なるほど」と思いました)、普通の人はRealOneにアップデートしてしまいませんか?
そうするともれなくスパイウェアがついてくるわけで、やっぱ罠だと思う。
どんなスパイウェアなの? (スコア:0)
Re:どんなスパイウェアなの? (スコア:0)
一番上に出るページ
http://higaitaisaku.web.infoseek.co.jp/real.html
リアルが「我々の製品はスパイウエアです」って言わないと
デマと認識されてしまうのでしょうか?
Re:どんなスパイウェアなの? (スコア:0)
送っていると書いてありますが、RealDownload って普段使用されるんですか?
なにも RealDownload で好きこのんでファイルを落とさなくても……
Re:どんなスパイウェアなの? (スコア:0)
論文書くときだって参考文献は明示するっしょ。
Re:セキュリティアップデートの提供方法 (スコア:1, 参考になる)
出ませんでした。Netscape 7に付属のやつだからかな?
日本語アドバイザリ、翻訳間違ってるっぽい (スコア:2, 参考になる)
なんつーものが存在したかしら? と思って原文確認してみたら、これ誤訳ですね。
「…Mac OS X版のRealOne Player、そしてすべてのバージョンのRealOne Enterprise…」
というのが正解っぽいです。
# Real社がMac OS X用のエンタープライズソリューションを用意したなら、
# それはそれで結構素敵。いや待て今日は4月1日…。とか、無駄な思考を巡らせてしまった(鬱
Re:日本語アドバイザリ、翻訳間違ってるっぽい (スコア:1)
代替策は? (スコア:2, 興味深い)
例えばコーデック単体や他形式への変換ツールなどはないのでしょうか。
Real One Player (スコア:1, 興味深い)
スパイウェアらしいんです (スコア:1)
流石にどっかの悪質プログラムのようにメールで個人ファイル添付ってのは無いですが、気色悪いのは事実。
Re:スパイウェアらしいんです (スコア:2, 参考になる)
製品のダウンロード、購入、およびインストール時に収集される情報 [realnetworks.com]
それでも、確かに気持ち悪いよね。
こういう事を一切しない(ついでに軽い)素のRealPlayerがあれば買ってもいいと思うんだけどな。
Re:Real One Player (スコア:1, 参考になる)
データは
"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
なんてなってますが、OSとともに立ち上がるので正直気持ち悪い。
レジストリをいじってしまえば大丈夫 (スコア:3, 参考になる)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
にあるTkBellExeのデータを空にすれば大丈夫です。丸ごと削除すると、再起動時に作り直しやがりますので(^_^;)。
Re:Real One Player (スコア:2, 参考になる)
自分のところにはそんなのないです
環境設定 - 自動サービスの内容はチェックしましたか?
多分こいつのせいでは?
(-_-)
本当だ! (スコア:1)
1階層下のオートアップデートは無関係のようです。
というわけで、RealOne Playerのスパイウェア説は否定された....かな?
Re:Real One Player (スコア:0)
消してるんだけど、Realplayer起動すると復活します。
Y playerやMini RPなど、コンポーネントを利用するプレイヤーを
使えば大丈夫っぽい。
Re:Real One Player (スコア:0)
zlib? (スコア:1)
と連想しましたが、どうなのかな。一年以上ほったらかしだった?
zlibにセキュリティホール [srad.jp]
こっちの方が (スコア:0, 余計なもの)
旧バージョンのダウンロードサイト (スコア:0)
http://forms.real.com/real/player/blackjack.html
#これはFAQからたどって発見した。