CERT-FI haavoittuvuustiedote 095/2008

25.7.2008

Haavoittuvuuksia RealPlayer-sovelluksessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

RealPlayer-sovelluksen sisäisestä Shockwave Flash (SWF) -tiedostokäsittelijästä on löytynyt haavoittuvuus. Haitallisesti muotoiltu SWF-tiedosto voi aiheuttaa sovelluksessa puskuriylivuodon.

Toinen tarkemmin määrittelemätön haavoittuvuus voi mahdollistaa luottamuksellisen tiedon hankkimisen käyttäjän koneelta.
Kolmas haavoittuvuus liittyy ActiveX-kontrollin mahdolliseen puskuriylivuotoon.

HAAVOITTUVAT OHJELMISTOT:

• RealPlayer 10
• RealPlayer 10.5 (builds 6.0.12.1040 - 6.0.12.1663, 6.0.12.1698, 6.0.12.1741)
• RealPlayer Enterprise
• Mac RealPlayer 10 (10.0.0.305 - 352)
• Mac RealPlayer 10.1 (10.0.0.396 - 10.0.0.503)
• Linux RealPlayer 10

Kaikki haavoittuvuudet vaikuttavat Windows-käyttöjärjestelmän RealPlayer-sovellukseen. Ensimmäinen haavoittuvuus koskee lisäksi Linux ja Mac OS X -ympäristöjä.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti. Valmistajan ohjelmistopäivitys korjaa lisäksi aikaisemmin raportoidun ActiveX-kontrollissa olleen haavoittuvuuden.

LISÄTIETOA:

• http://service.real.com/realplayer/security/07252008_player/en/
• http://secunia.com/advisories/27620/
• CVE-2007-5400, CVE-2008-3064, CVE-2008-3066
  

PÄIVITYSHISTORIA:

25.7.2008, kello 22.03: Julkaistu
26.7.2008, kello 12.20: Lisätty tieto kahdesta uudesta haavoittuvuudesta sekä tieto korjauspäivityksen olemassaolosta

Sivua päivitetty 26.07.2008

Tulostusversio