【詳細情報】RealNetworks社がRealOne、Real Playerのバッファオーバーフローを修正 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

【詳細情報】RealNetworks社がRealOne、Real Playerのバッファオーバーフローを修正

国際 海外情報

◆概要:
 RealNetworks社では、RealOne及びReal Playerメディアプレーヤーアプリケーションのリモートで悪用可能な3つのバッファオーバーランを修正するためのパッチを発表した。

 最初のオーバーフローは、アプリケーションがダウロードされたSynchronized Multimedia Integration Language(SMIL)ファイルに含まれるユーザー定義データのチェックに失敗により発生する。2番目のオーバーフローは、アプリケーションがM3Uファイル内などにあるrtsp://ファイル名パラメーターの長さのチェックにより失敗する。

 3番目のオーバーフローは、2番目のオーバーフローに関連している。ターゲットとなるユーザーがローカル/rtspまたはURLにある大きなファイル名を持つファイルをダウンロードする場合、ユーザーがマウスの右ボタンで「Now Playing(今すぐ再生)」をクリックして「Edit Clip info(クリップ情報の編集)」を選択すると、アプリケーションがアクセス違反を起こす。ユーザーが「Now Playing(今すぐ再生)」をクリックして「Select copy to my Library(My Libraryのコピーを選択)」を選択すると、アプリケーションが同じエラーを起こす。


◆情報ソース:
・RealNetworks Inc. ( http://service.real.com/help/faq/security/bufferoverrun_player.html ) , Nov. 20, 2002
・Next Generation Security Software Ltd. ( nisr@nextgenss.com ) , Nov. 22, 2002

◆キーワード:
 RealPlayer 8.x

◆分析:
 (iDEFENSE 米国) 最初の脆弱性は、攻撃者がこのようなファイルを設計して、ターゲットのRealOne又はRealユーザーに攻撃ファイルをダウンロードする事を実行させた場合、ターゲットユーザーの特権を使用して攻撃できる可能性がある。2番目のバグの悪用は、ターゲットとなるユーザーが非常に長いrtsp://ファイル名パラメーターを使って悪意のあるファイルをダウンロードした場合に発生する。すると攻撃プログラムがターゲットとなるユーザーの特権を使用し実行される。3番目のバグの悪用も、2番目と同様の実行方法である。

◆検知方法:
 以下の製品で脆弱性が確認されている。

・RealOne Player及びRealOne Player V2、US for Windows
・RealOne Enterprise Desktop(2番目及び3番目の脆弱性にのみ影響される)
・RealPlayer

◆ベンダー情報:
 修正は、 http://service.real.com/help/faq/security/07092002/skinpatchr11s.rmp で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【10:17 GMT、11、26、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×