Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 070/2004

CERT-FI haavoittuvuustiedote 070/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

30.9.2004

Haavoittuvuuksia RealPlayer-ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- tietojen muokkaaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

RealPlayer (RealOne Player, Helix Player) on suosittu mm. videotiedostojen katseluun ja musiikkitiedostojen kuunteluun käytetty ohjelmisto. RealPlayer-ohjelmistosta on löydetty kolme uutta haavoittuvuutta.

Ensimmäinen haavoittuvuuksista liittyy tietyllä tavalla muokatun RM-tiedoston suorittamiseen tietojärjestelmän paikalliselta levyltä. Tätä haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Toinen haavoittuvuuksista liittyy suoraan www-sivulta soitinohjelmistolle kohdistettuihin vihamielisiin komentoihin, joilla voidaan aiheuttaa selaimeen integroidun RealPlayer-ohjelmiston korruptoituminen. Myös tätä haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

Kolmatta haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista poistaa kohdejärjestelmästä tiedostoja tietämästään hakemistopolusta. Kolmannen haavoittuvuuden hyväksikäyttö on mahdollista tietyllä tavalla muokatun www-sivun ja media-tiedoston avulla.

HAAVOITTUVAT OHJELMISTOT:

Seuraavat Windows-versiot ovat haavoittuvia kaikille edellä mainituille haavoittuvuuksilla:

  • RealPlayer 10.5

  • RealPlayer 10.5

  • RealPlayer Beta 10

  • RealOne Player v1, v2

Seuraavat eri käyttöjärjestelmille tarkoitetut ohjelmistoversiot ovat haavoittuvia ensimmäiselle haavoittuvuudelle:

Windows:

  • RealPlayer 8

  • RealPlayer Enterprise

Mac:

  • Mac RealPlayer 10

  • Mac RealOne Player

Linux:

  • Linux RealPlayer 10

  • Helix Player

Tarkemmat tiedot haavoittuvista versioista on saatavilla valmistajalta

http://www.service.real.com/help/faq/security/040928_player/EN/

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti:

http://www.service.real.com/help/faq/security/040928_player/EN/

LISÄTIETOA:

http://www.service.real.com/help/faq/security/040928_player/EN/

PÄIVITYSHISTORIA:

30.09.2004: Julkaistu
Sivua päivitetty 19.07.2007   Tulostusversio Tulostusversio