Real-Medien schleusen Code in Unix-Systeme

Die Real- und Helixplayer für Unix enthalten einen Fehler, der das Einschleusen und Ausführen von fremden Code durch präparierte Medien-Dateien ermöglicht.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
Lesezeit: 1 Min.
Von

Die Real- und Helixplayer für Unix enthalten einen Fehler, der das Einschleusen und Ausführen von fremden Code durch präparierte Medien-Dateien ermöglicht. Das Sicherheitsloch kann auftreten, wenn die Player manipulierte .rp-Dateien (realpix) beziehungsweise .rt-Dateien (realtext) abspielen.

Es handelt sich bei der Lücke um eine Format-String-Schwachstelle. Hierbei kann über weitere Umwege ein Pointer verbogen werden, der dann auf ausführbaren Code zeigt. Betroffen sind Realplayer für Unix 10.0.5 Gold und davor sowie der Helixplayer für Unix in Version 1.0.5 Gold und ältere. Laut dem Advisory von Open Security ist der Hersteller bereits über die Lücke informiert und arbeitet an einem Update.

Da bis jetzt kein Workaround oder Update verfügbar ist und das Advisory Proof-of-Concept-Code enthält, sollten Anwender der betroffenen Versionen vorerst keine realpix- oder realtext-Dateien aus dem Netz abspielen. Auch Playlisten (.ram/.smil) sollten Nutzer der Unix-Player bis zur Verfügbarkeit neuer Versionen meiden, da die Playlisten .rp- und .rt-Dateien einbinden können.

Siehe dazu auch: (dmk)