Neue RealPlayer-Versionen beseitigen Sicherheitslücken

Mit neuen Versionen des RealPlayer schließt der Hersteller mehrere, teils kritische Sicherheitslücken in der Software. Diverse Versionen auf allen Plattformen sind von den Schwachstellen betroffen.

Eine Schwachstelle findet sich im Aufruf der Windows-API-Funktion CreateProcess(). Durch Leerzeichen im Programmpfad können dadurch andere als das gewünschte Programm ausgeführt werden, etwa wenn der Programmpfad C:\Program Files\RealPlayer 10.5\ lautet. In dieser Konstellation würde bei Vorhandensein C:\Program.exe oder C:\Program Files\RealPlayer.exe ausgeführt.

Beim Verarbeiten von präparierten Flash-Mediendateien kann ein Pufferüberlauf auftreten. Dies könnte zum Absturz führen, möglicherweise lässt sich so aber auch Code auf den Rechner einschleusen. Eine bösartige Webseite könnte einen Heap-basierten Pufferüberlauf im Embedded-Player provozieren, der vergleichbare Auswirkungen hat. Ein weiterer Buffer Overflow kann durch manipulierte Mimio-Broadcast-Dateien (.mbc) ausgelöst werden.

Benutzer des RealPlayer 10.5 müssen den aktualisierten Player komplett herunterladen und installieren, der RealOne Player sowie Helix Player können über die integrierte Update-Suche auf den neuesten Stand gebracht werden. In einer Sicherheitsmeldung verlinkt Real die Updates für alle betroffenen Player und Plattformen.

Siehe dazu auch: (dmk)

• RealNetworks Releases Product Updates, Sicherheitsmeldung von Real
• Unquoted Windows search path vulnerability in RealNetworks RealPlayer 10.5, Common-Vulnerabilities-and-Exposures-Eintrag (CVE)
• Shockwave-Schwachstelle, noch nicht hinterlegter CVE-Eintrag
• Embedded-Player-Schwachstelle, ebenfalls noch nicht hinterlegter CVE-Eintrag