【詳細情報】RealNetworks社がRealOne、Real Playerのバッファオーバーフローを修正 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.22(土)

【詳細情報】RealNetworks社がRealOne、Real Playerのバッファオーバーフローを修正

◆概要:  RealNetworks社では、RealOne及びReal Playerメディアプレーヤーアプリケーションのリモートで悪用可能な3つのバッファオーバーランを修正するためのパッチを発表した。

国際 海外情報
◆概要:
 RealNetworks社では、RealOne及びReal Playerメディアプレーヤーアプリケーションのリモートで悪用可能な3つのバッファオーバーランを修正するためのパッチを発表した。

 最初のオーバーフローは、アプリケーションがダウロードされたSynchronized Multimedia Integration Language(SMIL)ファイルに含まれるユーザー定義データのチェックに失敗により発生する。2番目のオーバーフローは、アプリケーションがM3Uファイル内などにあるrtsp://ファイル名パラメーターの長さのチェックにより失敗する。

 3番目のオーバーフローは、2番目のオーバーフローに関連している。ターゲットとなるユーザーがローカル/rtspまたはURLにある大きなファイル名を持つファイルをダウンロードする場合、ユーザーがマウスの右ボタンで「Now Playing(今すぐ再生)」をクリックして「Edit Clip info(クリップ情報の編集)」を選択すると、アプリケーションがアクセス違反を起こす。ユーザーが「Now Playing(今すぐ再生)」をクリックして「Select copy to my Library(My Libraryのコピーを選択)」を選択すると、アプリケーションが同じエラーを起こす。


◆情報ソース:
・RealNetworks Inc. ( http://service.real.com/help/faq/security/bufferoverrun_player.html ) , Nov. 20, 2002
・Next Generation Security Software Ltd. ( nisr@nextgenss.com ) , Nov. 22, 2002

◆キーワード:
 RealPlayer 8.x

◆分析:
 (iDEFENSE 米国) 最初の脆弱性は、攻撃者がこのようなファイルを設計して、ターゲットのRealOne又はRealユーザーに攻撃ファイルをダウンロードする事を実行させた場合、ターゲットユーザーの特権を使用して攻撃できる可能性がある。2番目のバグの悪用は、ターゲットとなるユーザーが非常に長いrtsp://ファイル名パラメーターを使って悪意のあるファイルをダウンロードした場合に発生する。すると攻撃プログラムがターゲットとなるユーザーの特権を使用し実行される。3番目のバグの悪用も、2番目と同様の実行方法である。

◆検知方法:
 以下の製品で脆弱性が確認されている。

・RealOne Player及びRealOne Player V2、US for Windows
・RealOne Enterprise Desktop(2番目及び3番目の脆弱性にのみ影響される)
・RealPlayer

◆ベンダー情報:
 修正は、 http://service.real.com/help/faq/security/07092002/skinpatchr11s.rmp で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【10:17 GMT、11、26、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×