Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2008 > CERT-FI haavoittuvuustiedote 002/2008

CERT-FI haavoittuvuustiedote 002/2008

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

5.1.2008

RealPlayer-sovelluksen haavoittuvuudet

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

RealPlayer-sovelluksesta on löytynyt kaksi haavoittuvuutta, joiden avulla hyökkääjä voi suorittaa kohdejärjestelmässä haluamiansa komentoja houkuttelemalla käyttäjä räätälöimälleen www-sivulle. Haavoittuvuuksista toinen liittyy ActiveX-kontrolliin rmoc3260.dll, ja toisesta ei ole saatavilla tarkempia tietoja. Molempia haavoittuvuuksia hyväksikäytetään aktiivisesti.

HAAVOITTUVAT OHJELMISTOT:

  • RealPlayer 10
  • RealPlayer 10.5 (builds 6.0.12.1040 - 6.0.12.1663, 6.0.12.1698, 6.0.12.1741)
  • RealPlayer 11 (11.0.0 - 11.0.2, builds 6.0.14.738 - 6.0.14.802)
  • RealPlayer Enterprise

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

ActiveX-kontrollin haavoittuvuuteen on olemassa korjaus. Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

http://service.real.com/realplayer/security/07252008_player/en/
http://secunia.com/advisories/28276/
http://secunia.com/advisories/29315/
http://isc.sans.org/diary.html?storyid=3810
CVE-2008-0098, CVE-2008-1309

PÄIVITYSHISTORIA:

5.1.2008, kello 12.44: Julkaistu
3.4.2008, kello 17.30: Lisätty tiedot toisesta haavoittuvuudesta ja sen hyväksikäytöstä
26.7.2008, kello 11.00: Lisätty tieto korjauspäivityksen olemassaolosta

Sivua päivitetty 05.08.2008   Tulostusversio Tulostusversio