CERT-FI haavoittuvuustiedote 146/2007

29.10.2007

Haavoittuvuuksia RealPlayer-, RealOne- ja HelixPlayer-sovelluksissa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

RealPlayer-, RealOne- ja HelixPlayer-sovelluksista on löytynyt kaikkiaan kuusi ylivuotohaavoittuvuutta. Haavoittuvuudet liittyvät erilaisten multimedia- ja soittolistatiedostojen käsittelyyn (mp3-, rm-, SMIL-,
swf-, ram- ja pls-tiedostot). Haavoittuvuuksia voidaan hyväksikäyttö saamalla uhri avaamaan hyökkääjän räätälöimä tiedosto haavoittuvalla sovelluksella.

HAAVOITTUVAT OHJELMISTOT:

RealPlayer 10.5 (6.0.12.1040-6.0.12.1578, 6.0.12.1698, 6.0.12.1741)
RealPlayer 10
RealOne Player v2
RealOne Player v1
RealPlayer 8
RealPlayer Enterprise
Mac RealPlayer 10.1 (10.0.0.481)
Mac RealPlayer 10.1 (10.0.0.396 - 10.0.0.412)
Mac RealPlayer 10 (10.0.0.352)
Mac RealPlayer 10 (10.0.0.305 - 331)
Mac RealOne Player
Linux RealPlayer 10 (10.0.5 - 10.0.8)
Helix Player (10.0.5 - 10.0.8)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä sovellukset uusimpiin versioihin ohjelmistotoimittajan tiedotteessa kuvatulla tavalla: http://service.real.com/realplayer/security/10252007_player/en/

LISÄTIETOA:

http://service.real.com/realplayer/security/10252007_player/en/
http://www.piotrbania.com/all/adv/realplayer-heap-corruption-adv.txt

CVE-2007-2263 CVE-2007-2264 CVE-2007-3410
CVE-2007-4599 CVE-2007-5080 CVE-2007-5081

PÄIVITYSHISTORIA:

29.10.2007, kello 14.53: Julkaistu

Sivua päivitetty 29.10.2007

Tulostusversio