SR04-067 Sårbarheter i RealOne Player

Publicerad: 040611

Problembeskrivning:
CVE-referens: -
1. eEye Digital Security har upptäckt en säkerhetsbrist i filen embd3260.dll som används av RealPlayer för att bland annat generera felmeddelanden. Genom att länka till en specialkonstruerad film i ett HTML dokument, kan ett felmeddelande skapas som resulterar i att kod kan skrivas på minnesstacken.

CVE-referens: -
2. iDEFENSE har identifierat en säkerhetsbrist i version 10 RealPlayer. Denna sårbarhet beror på sättet som RealPlayer hanterar URL:er med ett stort antal punkter och genom att specialkonstruera en URL i kan kod exekveras på maskinen. Denna sårbarhet har bekräftats av tillverkaren i version 10 av RealPlayer.

För att attacken ska lyckas måste användaren luras att besöka en hemsida som innehåller den skadliga koden eller på annat sätt luras att öppna den.

Påverkade versioner:
RealOne Player
RealOne Player v2
RealPlayer 10
RealPlayer 8
RealPlayer Enterprise (alla versioner, standalone och "as configured" av RealPlayer Enterprise Manager)

Uppdatering:
Uppgradera till den senaste versionen av RealPlayer. För instruktioner om hur uppdatering går till, se: http://service.real.com/help/faq/security/040610_player/EN/.

Mer information:
http://www.eeye.com/html/research/advisories/AD20040610.html
http://www.idefense.com/application/poi/display?id=109&type=vulnerabilities&flashstatus=true

Versionshistorik:
040611: Särskilt råd skapat.