Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 078/2004

CERT-FI haavoittuvuustiedote 078/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

28.10.2004

Haavoittuvuus RealPlayer-ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

RealPlayer (RealOne Player) on suosittu mm. videotiedostojen katseluun ja musiikkitiedostojen kuunteluun käytetty ohjelmisto. RealPlayer-ohjelmistosta on löydetty uusi haavoittuvuus.

RealPlayer-ohjelmistoon on sisällytetty ZIP-tiedostoja käsittelevä Microsoft Windows käyttöjärjestelmän dunzip32.dll-kirjasto, mistä on aikaisemmin löydetty puskuriylivuotohaavoittuvuus. Puskuriylivuoto tapahtuu, kun pitkän tiedostonimen sisältävä rjs-tiedosto avataan. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omia komentojaan kohdejärjestelmässä.

Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle. Tällöin rjs-tiedoston lataaminen ja suorittaminen voi tapahtua täysin automaattisesti käyttäjältä mitään kysymättä.

HAAVOITTUVAT OHJELMISTOT:

  • RealPlayer 10.5 (versio 6.0.12.1053 ja aikaisemmat)

  • RealPlayer 10

  • RealOne Player v2

  • RealOne Player v1

Vain RealPlayer-ohjelmiston Windows-versiot ovat haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva RealPlayer-ohjelmisto valmistajan ohjeiden mukaisesti:

http://www.service.real.com/help/faq/security/041026_player/EN/

LISÄTIETOA:

http://www.service.real.com/help/faq/security/041026_player/EN/

http://www.eeye.com/html/research/advisories/AD20041027.html

PÄIVITYSHISTORIA:

28.10.2004: Julkaistu
Sivua päivitetty 19.07.2007   Tulostusversio Tulostusversio