JVNDB-2007-000881
|
リアルネットワークス RealPlayer におけるプレイリストの処理にバッファオーバーフローの脆弱性
|
|
リアルネットワークスが提供する RealPlayer は、オーディオファイルやビデオファイルなどのコンテンツを閲覧するためのマルチメディア用アプリケーションです。この RealPlayer に含まれる MPAMedia.dll には、プレイリスト名を処理する際にスタックバッファオーバーフローの脆弱性が存在します。
リアルネットワークスが提供する RealPlayer は、オーディオファイルやビデオファイルなどのコンテンツを閲覧するためのマルチメディア用アプリケーションです。この RealPlayer に含まれる MPAMedia.dll には、プレイリスト名を処理する際にスタックバッファオーバーフローの脆弱性が存在します。
また、2007/10/25 現在、IERPCtl ActiveX コントロールを経由しての攻撃が行なわれているとの情報も公開されています。
|
|
CVSS v2 による深刻度
基本値: 9.3 (危険) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): 全面的
- 可用性への影響(A): 全面的
|
|
|
リアルネットワークス
- RealNetworks RealOne Player
- RealNetworks RealOne Player v2
- RealNetworks RealPlayer 10
- RealNetworks RealPlayer 10.5
- RealNetworks RealPlayer 11 beta
|
|
|
遠隔の第三者によって細工された HTML ドキュメントや HTML メールなどをユーザが閲覧することによって、当該ソフトウェアを使用しているユーザの権限で任意のコードが実行される可能性があります。なお、この脆弱性が利用される条件として Realplayer が起動されている必要はありません。
|
|
リアルネットワークスの提供する最新版を適用してください。
|
|
リアルネットワークス
富士通
|
|
- バッファエラー(CWE-119) [NVD評価]
|
|
- CVE-2007-5601
|
|
- JVN : JVNTA07-297A
- JVN Status Tracking Notes : TRTA07-297A
- National Vulnerability Database (NVD) : CVE-2007-5601
- 警察庁 @police : Realplayer の脆弱性について
- US-CERT Cyber Security Alerts : SA07-297A
- US-CERT Vulnerability Note : VU#871673
- US-CERT Technical Cyber Security Alert : TA07-297A
- Secunia Advisory : SA27248
- SecurityFocus : 26130
- ISS X-Force Database : 37280
- SecurityTracker : 1018843
- FrSIRT Advisories : FrSIRT/ADV-2007-3548
- Symantec Security Response : Trojan.Reapall
|
|
- [2007年10月31日]
掲載
[2007年11月29日]
ベンダ情報: 富士通 (TA07-297A) を追加しました。
|
