パスワードを忘れた? アカウント作成
5405 story

RealOne Playerなどに重大なセキュリティホール 22

ストーリー by yourCat
穴があく程見つめたから 部門より

Anonymous Coward 曰く、 "Core Security Technologies Advisoryによると RealOne Player、RealPlayer8 にセキュリティホールが発見されたようです。RealPlayer のコンポーネントである RealPix のデータ圧縮ライブラリのバグにより、不正に細工された PNG ファイルを読み込むことによって、ヒープ破損 (メモリー) が発生し、攻撃者によりユーザー権限 (RealPlayerの実行権限) 下で任意のコードが実行される可能性があるということです。影響範囲は以下の通り。

  • Windows 用 RealOne Player および RealOne Player v2 (すべての言語版)
  • Windows用 RealPlayer 8 (すべての言語版)
  • Mac OS 9 用 RealPlayer 8
  • Mac OS X 用 RealOne Player
  • Enterprise Desktop Managerおよび RealOne Enterprise Desktop (すべてのバージョン)

現時点では被害報告は無いようですが、RealNetworks では重大な問題だと認識しているようです (RealNetworksの日本語のアドバイザリーRealNetworksのアドバイザリー)。
このアドバイザリーにアップデートの手順が公開されています。RealOne Desktop Manager および RealOne Enterprise Desktop 用のアップデートは、来週中にリリース予定のようです。また、これ以前のものは、一旦最新バージョンの RealOne Player にアップデートした後、上記のセキュリティアップデートをおこなうことが推奨されています。"

Helix DNA Clientはこの影響を受けない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jbeef (1278) on 2003年04月01日 15時30分 (#291019) 日記
    セキュリティアップデートをどうやってわかり易くコンシューマーに提供するかというのは、各製品で課題となっていると思うのですが、Real Player 8の場合は、「ヘルプ」→「バージョン情報」の画面に「アップデートのチェック」というボタンが用意されているのですね。

    このボタンを押すと、Real One Playerにアップデートしようというトラップが出ますが、意外にもここで「閉じる」ボタンを押せば、コンポーネントごとのアップデート選択画面が現れますね。そしてそこに「セキュリティアップデート - 2003年3月」という項目が用意されていると。ふむふむ。

    そこに「セキュリティ情報」というボタンがあって、これを押すとセキュリティアドバイザリーのWebページが開くのかな。……と思ったら、なんか違うページ(プライバシーポリシーのページ)が開くなあ。

    • by nackey (3237) on 2003年04月01日 18時26分 (#291134)
      やっぱり罠だと思うな。

      確かに「閉じる」を押せばいいんですけど(私も押して始めて「あ、なるほど」と思いました)、普通の人はRealOneにアップデートしてしまいませんか?
      そうするともれなくスパイウェアがついてくるわけで、やっぱ罠だと思う。
      親コメント
      • RealOne がスパイウェアだというのを、もうちょっとちゃんと教えてください。(デマでないとわかる程度の情報をくださいです。)
        • ねぇ、まずググってみた?

          一番上に出るページ
          http://higaitaisaku.web.infoseek.co.jp/real.html

          リアルが「我々の製品はスパイウエアです」って言わないと
          デマと認識されてしまうのでしょうか?
          • このページには RealDownload がダウンロードしたファイルの情報を
            送っていると書いてありますが、RealDownload って普段使用されるんですか?
            なにも RealDownload で好きこのんでファイルを落とさなくても……
          • FUDにならないためにも、無用な混乱を招かないためにも、重大なことについて書き込むときにはポインタくらい明示するのが礼儀っちゅうものじゃないかと。

            論文書くときだって参考文献は明示するっしょ。
    • by Anonymous Coward on 2003年04月01日 20時26分 (#291172)
      「アップデートのチェック」というボタンが用意されているのですね。

      このボタンを押すと、Real One Playerにアップデートしようというトラップが出ますが、

      出ませんでした。Netscape 7に付属のやつだからかな?
      親コメント
  • by yoz (6065) on 2003年04月01日 17時42分 (#291117)
    Mac OS X版の「RealOne Enterprise Desktop Managerおよび RealOne Enterprise Desktop」
    なんつーものが存在したかしら? と思って原文確認してみたら、これ誤訳ですね。
    「…Mac OS X版のRealOne Player、そしてすべてのバージョンのRealOne Enterprise…」
    というのが正解っぽいです。

    # Real社がMac OS X用のエンタープライズソリューションを用意したなら、
    # それはそれで結構素敵。いや待て今日は4月1日…。とか、無駄な思考を巡らせてしまった(鬱
  • 代替策は? (スコア:2, 興味深い)

    by Fatalwedge (6623) <fatal@fuurai.org> on 2003年04月02日 1時05分 (#291318) 日記
    実際問題リアルプレイヤー形式でしか配布を行っていないサイトは多いわけで、
    例えばコーデック単体や他形式への変換ツールなどはないのでしょうか。
  • Real One Player (スコア:1, 興味深い)

    by Anonymous Coward on 2003年04月01日 17時47分 (#291123)
    これ自体にいろいろ問題があるからインストール しないほうがいいと登場当初から言われてましたが、 どんな問題があるんですか?
  • by bero (5057) on 2003年04月03日 1時50分 (#291862) 日記
    PNG -> データ圧縮ライブラリ -> いまさらzlibの問題かよ!
    と連想しましたが、どうなのかな。一年以上ほったらかしだった?
    zlibにセキュリティホール [srad.jp]
  • こっちの方が (スコア:0, 余計なもの)

    by float (7805) on 2003年04月01日 17時40分 (#291116) ホームページ 日記
    エイプリルフールネタであってほしかった…….
  • by Anonymous Coward on 2003年04月02日 18時07分 (#291633)
    ちなみに旧バージョンのダウンロードURLはこちら。
    http://forms.real.com/real/player/blackjack.html

    #これはFAQからたどって発見した。
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...