Löchriger RealPlayer gefährdet Windows-PCs

Zwei Sicherheitslöcher ermöglichen es Angreifern, mit manipulierten Media-Dateien den Rechner unter ihre Kontrolle zu bekommen.

In Pocket speichern vorlesen Druckansicht 226 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Anwender des RealPlayers von Real Networks könnten kurz vor dem Wochenende nochmal in Wallung geraten, haben doch die Sicherheitsdienstleister iDEFENSE und EEYE zwei Sicherheitslöcher entdeckt. Mit manipulierten Media-Dateien können Angreifer Programme auf verwundbare Systeme schleusen, um den Rechner unter ihre Kontrolle zu bekommen.

iDEFENSE beschreibt die Möglichkeit, mit einer sehr großen Zahl von Punkten (.) in einer URL einen Buffer Overflow zu erzeugen und darüber beliebigen Code einzuschleusen. Dazu reicht das Abspielen einer .RAM-Datei aus, die solch eine URL enthält. Betroffen ist RealPlayer 10, vorhergehende Versionen könnten den Fehler ebenfalls enthalten. Für welche Plattformen dies zutrifft, schreibt iDEFENSE im Advisory nicht. Einen Workaround gibt es derzeit nicht. Laut Advisory von Real Networks, auf das iDEFENSE verweist, sind die Windows-Versionen der Software betroffen; eine Aktualisierung auf die neuesten Versionen wird empfohlen.

Mit besonders präparierten Movie-Dateien ist es nach Angaben von EEYE möglich, einen Heap Overflow im RealPlayer oder dem RealMedia-Plug-in zu provozieren und darüber eigenen Code im Kontext des angemeldeten Benutzers auszuführen. Schuld ist die Bibliothek embd3260.dll, die beim Abspielen fehlerhafter Movies eine HTML-Meldung generiert. Unter bestimmten Umständen führt dies zu einem Overflow. Betroffen sind Windows-Versionen des RealOne Player, RealOne Player v2, RealPlayer 10, RealPlayer 8 und RealPlayer Enterprise. RealNetworks hat den Fehler bestätigt und bietet bereits Updates an.

Zwar ist zum Ausnutzen beider Lücken eine Interaktion des Benutzers notwendig -- er muss die Dateien herunterladen und starten --, allerdings zeigen andere Sicherheitslücken in der Vergangenheit, dass dies keine allzu große Hürde für einen erfolgreichen Angriff ist. Anwender sollten nur in Ausnahmefällen Dateien von nicht-vertrauenswürdigen Seiten laden und öffnen oder ausführen.

Siehe dazu auch: (dab)