Les chercheurs d'iDefense et NGS Software viennent d' examiner la bête, tandis que Secunia qualifie de hautement critique ces failles.
Elles permettent de prendre le contrôle d'un système vulnérable à distance.
La première vulnérabilité résulte d'une erreur de type "buffer overflow" présente dans la gestion de certains fichiers ".wav". Elle pourrait être exploitée afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
La seconde faille résulte d'un problème "stack overflow" et dans la gestion de certains fichiers ".smil".
Ce qui pourrait être exploité automatiquement via une page web malicieuse, afin d'exécuter des commandes arbitraires distantes.
Des mises à jour sont disponibles à cette adresse : ici
Versions affectées sous Windows
- RealPlayer 10.5 (6.0.12.1056 et inférieures)
- RealPlayer 10
- RealOne Player V2
- RealOne Player V1
- RealPlayer 8
- RealPlayer Entreprise
sous Mac :
- RealPlayer 10 (10.0.0.325 et inférieures)
- RealOne Player
sous Linux :
- RealPlayer 10
- Helix Player
Et quant on pense que RealNetwork a fait des pieds et des mains à la Commission Européenne
dans le combat contre Microsoft et qui plus est malgré la bonne volonté
de celui-ci, n' a pas retiré sa plainte, on se demande ce qui
justifierait l' adoption de ce lecteur.
On comprendra mieux alors pourquoi les internautes ont boudé ce lecteur !
Enfin de nos jours, le ridicule ne tue plus ;)
Source : Silicon