RealNetworksは、同社のストリーミング・プレイヤー・ソフトウェア「RealPlayer 10／8」「RealOne Player v1／v2」「Helix Player」（以下、RealPlayer）に複数の脆弱性が存在し、攻撃者が任意のコードを実行する危険性があることを明らかにし、対策済みバージョンの提供を開始した。

　脆弱性の対象となるのは以下のRealPlayerである。

・リアルネットワークス（RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース）：
http://service.real.com/help/faq/security/040928_player/JA/

　今回明らかになった脆弱性は、以下の3種類の攻撃が可能なものだ。

• 細工したrmファイル（RealMediaファイル）をローカル・ドライブから実行すると、RealPlayerが壊され、コンピュータ上で任意のコードが実行される。
• 細工されたWebページにアクセスすると、不正な呼び出しによってEmbedded Playerが壊され、コンピュータ上で任意のコードが実行される。
• 細工されたWebページにアクセスしたり、rmファイルを再生したりすると、攻撃者に知られているパス内にあるファイルが削除される。

　RealPlayerは、Windows Media Playerとともにストリーミング再生ソフトウェアとして広く利用されている。RealPlayerについては、6月にも任意のコードが実行可能な脆弱性が報告されており、古いRealPlayerは攻撃対象となりやすい状態となっている。RealPlayerをインストールしている場合は、対策済みの最新版をインストールするべきだ。

・HotFix Report（RealPlayerで任意のコードが実行可能となる危険性）：
http://www.hotfix.jp/archives/alert/2004/news04-0616.html#02

　セキュリティ関連の掲示板などによれば、MS04-028の脆弱性を悪用したJPEGファイルが画像掲示板などで公開されたことを報告している。またMS04-028の脆弱性を攻撃するJPEGファイルを容易に作成可能な「JPEG Downloader」というツールが公開された。このツールは、JPEGファイルを実行すると、指定したURLからファイルをダウンロードし、実行するというものだ。このツールを利用することで簡単にウイルスが作成可能となるため、興味本位で作成されたウイルスが配布される危険性が高くなっている。

　またすでにAIM（AOLインスタント・メッセンジャー）を使い、細工したJPEGファイルが置かれたWebサイトに誘導する攻撃や、同様の仕組みを用いたウイルスが確認された、という報告もある。実証コードの種類も増えていることから、今後とも十分な注意が必要だ。

　Mozilla Foundationは、Webブラウザ「Firefox Preview Release」に脆弱性が存在し、ダウンロード・ディレクトリからファイルが削除される危険性があることを明らかにした。同団体はすでに、この脆弱性を解消する修正プログラムと、脆弱性が修正済みのバージョン（Firefox 0.10.1）の提供を開始している。

・Mozilla Japan（Firefox の重要なセキュリティアップデートを公開）：
http://www.mozilla-japan.org/press/foundation-2004-10-01-02.html

　Mozilla Foundationは、今回見つかったFirefoxの脆弱性を「潜在的に危険なセキュリティ脆弱性だが、潜在的な危害をもたらすにはユーザーによる操作が必要である」としており、詳細については明らかにしていない。報道によれば、細工したリンク・フォーマットによって、ダウンロード・フォルダのファイルが削除されてしまうというもので、任意のコードが実行されるような危険性はないようだ。

　脆弱性を回避するには、以下のページから最新版をダウンロードしてインストールする。またFirefox Preview Releaseを利用している場合は、画面右上に表示されるアップデート・アイコンをクリックして修正プログラムを適用する（表示されていない場合は、「Firefox の重要なセキュリティアップデートを公開」ページの「ここから直接パッチをインストール」をクリックする）。

・Mozilla Japan（Firefoxの製品紹介ページ）：
http://www.mozilla-japan.org/products/firefox/

　なお修正プログラムの適用には、Firefoxの「信頼できるWeb サーバのリスト」に「ftp.mozilla-japan.org」を追加する必要がある。具体的には、以下の手順でリストに追加する。

1. Firefoxの［ツール］−［オプション］メニューを選択する。
2. ［オプション］ダイアログの「Web機能」を選択し、「Webサイトによるソフトウェアのインストールを許可する」をチェックする。
3. 「Webサイトによるソフトウェアのインストールを許可する」の右側の［許可サイト］ボタンをクリックする。
4. ［許可サイト］ダイアログの「サイトのアドレス」に「ftp.mozilla-japan.org」を入力し、［許可］ボタン、［OK］ボタンを順番にクリックする。

　インストール後は、Firefoxを再起動する必要がある。修正プログラムが適用されたかどうかは、Firefoxの［ヘルプ］−［Mozilla Firefoxについて］メニューをクリックし、画面の下側が「Firefox/0.10.1」（適用前は「Firefox/0.10」）となっていることを確認する。