Les lecteurs RealPlayer et RealOne souffrent de 4 failles de sécurité qualifiées de critiques.
Le site FrSIRT révèle que les deux versions du lecteur multimédia de Real sont affectées par 4 failles de sécurité critiques.
Versions vulnérables :
Ces vulnérabilités peuvent être exploitées par des attaquants distants afin de compromettre un système vulnérable.
- Le premier problème résulte d'une erreur présente au niveau du traitement des fichiers MP3, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des contrôleurs ActiveX ou écraser des fichiers arbitraires présents au sein d'un système vulnérable.
- La seconde faille est due à une erreur de type heap overflow présente au niveau du gestionnaire RealText qui ne gère pas correctement certains fichiers RealMedia spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
- La troisième vulnérabilité résulte d'une erreur de type buffer overflow présente au niveau du fichier "vidplin.dll" qui ne traite pas correctement certains fichiers AVI spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires distantes avec les privilèges de l'utilisateur connecté.
- Le dernier problème résulte d'une erreur inconnue qui, combinée à certaines versions d'Internet Explorer, pourrait permettre la création et l'exécution de fichiers malicieux au sein d'un système vulnérable.
La solution préconisée par FrSIRT est d'appliquer les correctifs disponibles via la fonctionnalité "Vérifier l'arrivée de mises à jour" située dans le menu "Outils".
Plus d'informations chez Real
Le site FrSIRT révèle que les deux versions du lecteur multimédia de Real sont affectées par 4 failles de sécurité critiques.
Versions vulnérables :
- RealPlayer 10.5 (6.0.12.1040 à 6.0.12.1069)
- RealPlayer 10
- RealOne Player v2
- RealOne Player v1
- RealPlayer 8
- RealPlayer Enterprise 1.1
- RealPlayer Enterprise 1.2
- RealPlayer Enterprise 1.5
- RealPlayer Enterprise 1.6
- RealPlayer Enterprise 1.7
- Rhapsody 3 (build 0.815 à build 0.1006)
- Mac RealPlayer 10 (10.0.0.305 à 10.0.0.331)
- Mac RealOne Player
- Linux RealPlayer 10 (10.0.0 à 10.0.4)
- Helix Player (10.0.0 à 10.0.4)
Ces vulnérabilités peuvent être exploitées par des attaquants distants afin de compromettre un système vulnérable.
- Le premier problème résulte d'une erreur présente au niveau du traitement des fichiers MP3, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des contrôleurs ActiveX ou écraser des fichiers arbitraires présents au sein d'un système vulnérable.
- La seconde faille est due à une erreur de type heap overflow présente au niveau du gestionnaire RealText qui ne gère pas correctement certains fichiers RealMedia spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.
- La troisième vulnérabilité résulte d'une erreur de type buffer overflow présente au niveau du fichier "vidplin.dll" qui ne traite pas correctement certains fichiers AVI spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires distantes avec les privilèges de l'utilisateur connecté.
- Le dernier problème résulte d'une erreur inconnue qui, combinée à certaines versions d'Internet Explorer, pourrait permettre la création et l'exécution de fichiers malicieux au sein d'un système vulnérable.
La solution préconisée par FrSIRT est d'appliquer les correctifs disponibles via la fonctionnalité "Vérifier l'arrivée de mises à jour" située dans le menu "Outils".
Plus d'informations chez Real
Source :
FrSIRT
