Wieder Lücken in RealPlayer [Update]

RealNetworks hat eine Warnmeldung herausgegeben, derzufolge sich durch manipulierte Skin-Dateien für die RealPlayer-Reihe Code auf verwundbare Systeme schleusen und starten lässt.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

RealNetworks hat eine Warnmeldung herausgegeben, derzufolge sich durch manipulierte Skin-Dateien für die RealPlayer-Reihe Code auf verwundbare Systeme schleusen und starten lässt. Schuld ist ein Buffer Overflow in der Datei DUNZIP32.DLL, die RealNetworks zwar mitliefert, aber von einem Dritthersteller stammt.

Verwundbar sind nur die Windows-Versionen des RealPlayer 10.5 (6.0.12.1053), 6.0.12.1040, 10.5 Beta (6.0.12.1016), 10, RealOne Player v2 sowie RealOne Player v1. Die Player für Linux, Mac und Handheld-Devices wie Nokia Series 60, Palm und Symbian sind nicht betroffen. Der Hersteller hat neue Versionen der Player zur Verfügung gestellt und empfiehlt deren Installation. Dies ist die fünfte kritische Sicherheitslücke im RealPlayer, die seit Beginn des Jahres bekannt wurde.

Update
Der Sicherheitsdienstleister eEye hat nähere Informationen zu der Schwachstelle in einem Advisory nachgeliefert. Bei der Schwachstelle handelt es sich um einen Fehler in der Microsoft-Dekomprimier-Bibliothek DUNZIP.DLL, die Microsoft am vergangenen Patch-Day eigentlich mit einem Update beseitigte. Allerdings lieferte RealNetworks in seinen Playern eine eigene, bislang noch verwundbare Version von DUNZIP.DLL aus. Durch die Aktualisierung ist der Fehler nun auch in diesen Versionen behoben. Ein ähnliches Wirrwarr an verschiedenen Bibliotheken führte auch schon zu Problemen bei der Beseitigung der JPEG-Sicherheitslücke.

Siehe dazu auch: (dab)