Failles de sécurité pour les lecteurs Real

Le par  |  3 commentaire(s) Source : FrSIRT

Les lecteurs RealPlayer et RealOne souffrent de 4 failles de sécurité qualifiées de critiques.

Les lecteurs RealPlayer et RealOne souffrent de 4 failles de sécurité qualifiées de critiques.


Le site FrSIRT révèle que les deux versions du lecteur multimédia de Real sont affectées par 4 failles de sécurité critiques.

Versions vulnérables :

  • RealPlayer 10.5 (6.0.12.1040 à 6.0.12.1069)
  • RealPlayer 10
  • RealOne Player v2
  • RealOne Player v1
  • RealPlayer 8
  • RealPlayer Enterprise 1.1
  • RealPlayer Enterprise 1.2
  • RealPlayer Enterprise 1.5
  • RealPlayer Enterprise 1.6
  • RealPlayer Enterprise 1.7
  • Rhapsody 3 (build 0.815 à build 0.1006)
  • Mac RealPlayer 10 (10.0.0.305 à 10.0.0.331)
  • Mac RealOne Player
  • Linux RealPlayer 10 (10.0.0 à 10.0.4)
  • Helix Player (10.0.0 à 10.0.4)

Ces vulnérabilités peuvent être exploitées par des attaquants distants afin de compromettre un système vulnérable.

- Le premier problème résulte d'une erreur présente au niveau du traitement des fichiers MP3, ce qui pourrait être exploité par des attaquants distants afin d'exécuter des contrôleurs ActiveX ou écraser des fichiers arbitraires présents au sein d'un système vulnérable.

- La seconde faille est due à une erreur de type heap overflow présente au niveau du gestionnaire RealText qui ne gère pas correctement certains fichiers RealMedia spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires avec les privilèges de l'utilisateur connecté.

- La troisième vulnérabilité résulte d'une erreur de type buffer overflow présente au niveau du fichier "vidplin.dll" qui ne traite pas correctement certains fichiers AVI spécialement conçus, ce qui pourrait être exploité via un site web malicieux afin d'exécuter des commandes arbitraires distantes avec les privilèges de l'utilisateur connecté.

- Le dernier problème résulte d'une erreur inconnue qui, combinée à certaines versions d'Internet Explorer, pourrait permettre la création et l'exécution de fichiers malicieux au sein d'un système vulnérable.



La solution préconisée par FrSIRT est d'appliquer les correctifs disponibles via la fonctionnalité "Vérifier l'arrivée de mises à jour" située dans le menu "Outils".


Plus d'informations chez Real
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #49571
Mouais, sur 4 failles, 3 sont windows only.

ActiveX = windows only
vidplin.dll = windows only
Internet Explorer = windows only

1 seule faille pourrait être multiplateforme.

La conclusion est vite tirée, non '

Mangez de pommes

-->[]
Le #49844
Comme quoi: quand on créé une usine à gaz, la sécurité est moins facile à maitriser (bon, je reconnais c'est un peu facile de dire cela).

En tous cas, l'utilisation massive de REALPLAYER m'a toujours laissé songeur ... comment un truc aussi lent peut être conservé par ses utilisateurs '
Le #52939
John, je partage plus que reellement ton avis !
WMP CLassic + real et QT alternative et hop
Dreamer
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]