Gefahr durch AVI-Filme [Update]
Die Sicherheitsfirma eEye warnt vor einem Sicherheitsproblem bei der Behandlung von AVI-Dateien durch den RealPlayer. Weitere Fehler im RealText-Modul und in der Behandlung von MP3-Dateien im RealPlayer sind ebenfalls kritisch.
Die Sicherheitsfirma eEye warnt vor einem kritischen Sicherheitsproblem bei der Behandlung von AVI-Dateien durch den RealPlayer. Ein speziell angefertigtes Filmchen kann in dem Multimedia-Tool einen Heap-Overflow auslösen und damit beliebigen Code zur Ausführung bringen. Laut eEye lässt sich das Problem sowohl über Web-Seiten als auch durch E-Mails mit entsprechenden Anhängen oder beim Instant Messaging empfangenen Dateien ausnutzen.
iDefense analysiert in einem zweiten Advisory einen weiteren Heap-Overflow, der ebenfalls zur Kompromittierung des Rechners fĂĽhren kann. Eine manipulierte Datei im RealText-Format kann ĂĽber eine ungeprĂĽfte Kopieraktion mit sprintf() Code einschleusen und ausfĂĽhren.
RealNetworks dokumentiert, dass neben RealPlayer 10.5, 10, 8 und RealPlayerOne für Windows auch die Mac- und Linux-Versionen und der Helix Player betroffen sind; die Handheld-Versionen hingegen sind immun. Das Advisory führt noch weitere Sicherheitsprobleme des RealPlayers auf. So können manipulierte MP3-Stücke lokale Dateien überschreiben oder ActiveX-Controls starten. RealNetworks empfiehlt, die bereitgestellten Updates einzuspielen beziehungsweise auf die aktuelle Realplayer-Version umzusteigen.
Siehe dazu auch: (ju)
- Security Advisory von eEye
- Security Advisory von iDefense
- Security Advisory von RealNetworks
