このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2005/02/09


不具合ならびに追加情報

情報の種類 セキュリティ番号 タイトル
脆弱性 −/− RealPlayerのRealMediaファイル処理の脆弱性により、不正なHTMLファイルが実行されてしまう危険性
不具合 −/− そのほかの不具合情報
 
[脆弱性]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
RealPlayerのRealMediaファイル処理の脆弱性により、不正なHTMLファイルが実行されてしまう危険性
情報ソース http-equiv氏、Secunia
情報の内容 RealPlayerの脆弱性
条件 RealPlayerの利用
報告日 2005年2月1日

 Secuniaは、マルチメディア・プレイヤー「RealPlayer」のRealMedia(rm)ファイルの処理に脆弱性があり、細工したRealMediaファイルに含まれるHTMLファイルがセキュリティ機能をバイパスして実行されてしまう危険性があることを報告した。この脆弱性は、以前もRealPlayerの脆弱性などを報告しているhttp-equiv氏が見つけたものだ。

・Secunia(RealPlayer RealMedia ".rm" Security Bypass Vulnerability):
http://secunia.com/advisories/14087/

 RealPlayerには、ローカル・ファイルをブラウザで表示させる機能が実装されている。この処理に脆弱性があり、RealMediaファイルに仕込まれたHTMLファイルがローカル・コンピュータ・ゾーンで実行されてしまう。このRealPlayerの脆弱性に対する実証コードは、2005/01/12日付け配信のHotFix Weeklyの「Windows XP SP2のHTMLヘルプ機能の脆弱性により、任意のコードが実行される危険性」で報告したWindows XP SP2の脆弱性と組み合わせたものが、http-equiv氏により公開されている。

・HotFix Weekly 2005/01/12日付け(Windows XP SP2のHTMLヘルプ機能の脆弱性により、任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/news05-0112.html#02

・http-equiv氏の実証コード:
http://www.malware.com/realmware.rm
#URLをクリックすると実証コードが実行されるので注意

 現時点では、RealNetworksからの報告や修正プログラムの提供は行われていない。RealPlayerは、広くWindowsにインストールされているマルチメディア・プレイヤーであるため、この脆弱性を悪用した攻撃が行われる危険性が高い。不審なURLをクリックしないなどの注意が必要だ。

情報の対象:
 RealPlayer
   

■そのほかの不具合/追加情報

・サポート技術情報 893393(ショートカットファイル (*.url) から Internet Explorer を起動するとウィンドウが最前面に表示されない):[IE 6]
http://support.microsoft.com/default.aspx?scid=kb;ja;893393

・サポート技術情報 893014(Web ページとして保存し IE で開くとテキスト ボックスから文字列がはみ出る):[PowerPoint 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;893014

・サポート技術情報 888664(Microsoft Windows XP Service Pack 2 のシステムのプロパティにメモリ サイズの情報が正しく表示されない):[Windows XP SP2]
http://support.microsoft.com/default.aspx?scid=kb;ja;888664

・サポート技術情報 883652(2003 に Exchange でスクリプトを使って、別の管理グループにメールボックスを移動しようとすると、 A "エラー コード: - 1056749031 インチエラー メッセージ受信します。):[Exchange 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;883652[機械翻訳]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=19e45b22-9c93-4ae2-8d08-367c5b7dd924&DisplayLang=ja

#Exchange 2003用更新プログラム (KB883652)

・サポート技術情報 893587(NTBackup の復元を行うと復元されないファイルが存在する):[Windows 2000][Windows XP][Windows Server 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;893587

・サポート技術情報 893700(ダイアルアップ接続中に Bluetooth デバイスの電源を切るとシャットダウンできないことがある):[Windows XP SP2]
http://support.microsoft.com/default.aspx?scid=kb;ja;893700

・サポート技術情報 893449(印刷中に Excel を非アクティブにすると文字が印刷されない):[Excel 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;893449

・サポート技術情報 891276(Windows 2000 日本語版を実行しているコンピュータで Sysprep のミニセットアップ フェーズを実行中、ファイルが必要というエラー メッセージが表示される):[Windows 2000]
http://support.microsoft.com/default.aspx?scid=kb;ja;891276

・サポート技術情報 886716(Adobe Premiere Pro で MPEG-2 へのトランスコード時にプログラムまたは Windows XP Service Pack 2 が応答を停止する場合がある):[Windows XP SP2]
http://support.microsoft.com/default.aspx?scid=kb;ja;886716

・サポート技術情報 884298(Office 2003 プログラムを Service Pack 1 に更新できない):[Office 2003]
http://support.microsoft.com/default.aspx?scid=kb;ja;884298

 

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先
info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。