Kritische Lücke im RealPlayer

Für eine bislang unbekannte Schwachstelle im RealPlayer 11 (build 6.0.14.748) kursiert laut einer Warnung des US-CERTs ein Exploit. Was der Exploit genau macht und worauf er beruht, ist nicht öffentlich bekannt. Nähere Informationen dürften nur Abonnenten des kostenpflichtigen Dienstes GLEG Ltd besitzen, der mit VulnDisco ein kommerzielles Exploit-Paket für das Exploit-Framework Immunity Canvas bereitstellt. Dafür soll der Entwickler Evgeny Legerov bereits seit dem 16. Dezember ein Exploit-Modul für den RealPlayer anbieten.

Die von ihm auf der Mailingliste von Immunity angekündigte Demo entpuppt sich als Video, wie der Exploit unter Canvas über eine Lücke im RealPlayer eine Remote-Shell öffnet. Ob der Hersteller über die Lücke informiert wurde, ist unbekannt, allerdings eher unwahrscheinlich. Bereits bei früheren Lücken in anderen Produkten verteilte Legerov Exploits für nicht veröffentlichte Lücken an seine Kundschaft. So hielt er Informationen über eine kritische Lücke im verbreiteten FTP-Server ProFTPD mehr als elf Monate zurück.

Ob der RealPlayer-Exploit von den VulnDisco-Kunden nur für Testzwecke eingesetzt wird oder unter Umständen schon aktiv auf Webseiten zum Einsatz kommt, ist unbekannt. Eine konkrete Handlungsempfehlung für Anwender gibt es daher nicht. Im Zweifel sollte man den RealPlayer einfach deinstallieren. Spätestens seitdem Windows-Anwender auf Amazon Beispiel-Musikstücke für den CD-Kauf auch mit dem Amazon Musik Sampler anhören können, gibt es kaum noch zwingende Gründe, das Produkt einzusetzen.

Siehe dazu auch:

• 0day RealPlayer exploit demo, Posting auf der Immunity-Mailingliste
• Publicly Available Exploit Code for RealPlayer , Warnung des US-CERT

(dab)