Schwere Sicherheitslöcher im Real Player

Angreifer können Programmcode bei der Wiedergabe von Multimediadateien ausführen

In etlichen Versionen des RealPlayer stecken schwere Sicherheitslöcher, über die Angreifer beliebigen Programmcode auf einem fremden System ausführen können. In zwei Fällen genügt es bereits, ein Opfer dazu zu bewegen, eine manipulierte AVI- oder RealMedia-Datei mit dem Real Player zu öffnen, um ein fremdes System zu kontrollieren. RealNetworks hat einen Patch zur Abhilfe des Problems veröffentlicht.

Artikel veröffentlicht am ,

Eine präparierte AVI-Datei kann einen Buffer Overrun im RealPlayer verursachen, der es einem Angreifer gestattet, beliebigen Programmcode auszuführen und sich so eine umfassende Kontrolle über fremde Systeme verschaffen. Das gleiche Resultat verursacht eine manipulierte RealMedia-Datei, die RealText verwendet, um einen Heap Overflow hervorzurufen.

Stellenmarkt
  1. Referent Finanzen (m/w/d)
    ADAC SE, München
  2. Scrum Master / Agile Coach (m/w/d)
    SEITENBAU GmbH, Konstanz (Home-Office möglich)
Detailsuche

Eine weitere Sicherheitslücke im RealPlayer erlaubt es, über eine entsprechende MP3-Datei unter Windows entweder lokale Daten zu überschreiben oder sogar ActiveX-Controls auszuführen. Auch das vierte Sicherheitsloch gilt nur für die Windows-Ausführungen des RealPlayer, stellt jedoch nur eine geringe Gefahr dar und tritt auch nur im Zusammenspiel mit einem älteren Internet Explorer auf, der in der Standardkonfiguration verwendet wird.

Die Sicherheitslücken betreffen eine Reihe von RealPlayer-Versionen für die Plattformen Windows, Linux und MacOS X. In den Linux- und MacOS-X-Ausführungen steckt allerdings nur das Sicherheitsloch bei der Verarbeitung der RealMedia-Dateien.

Real Networks bietet ab sofort über ein entsprechendes Sicherheitsdokument Patches für die betroffenen RealPlayer-Versionen zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Schorsch 27. Jun 2005

Nicht notwendig, das ist bereits schon mit der Windows-Installation geschehen. Ich...

Stefan Steinecke 24. Jun 2005

Das hatte ich impliziert.

HL 24. Jun 2005

Es gibt kein Problem. Genausowenig wie es einen Patch gibt. Angeboten wird nur ein...



Aktuell auf der Startseite von Golem.de
Manipulierte Ausweise  
CCC macht Videoident kaputt

Hinter dem Stopp von Videoident-Verfahren bei den Krankenkassen steckt ein Hack des Chaos Computer Clubs. Der Verein fordert weitere Konsequenzen.

Manipulierte Ausweise: CCC macht Videoident kaputt
Artikel
  1. Sicherheitssysteme: Tesla Model 3 erkennt Kinder-Dummy mehrfach nicht
    Sicherheitssysteme
    Tesla Model 3 erkennt Kinder-Dummy mehrfach nicht

    Tesla scheint keine Kinder auf der Fahrbahn zu erkennen. Dreimal wurde ein Dummy überfahren.

  2. Peripheriegeräte: Mechanische Tastatur hat integrierten 12,6-Zoll-Touchscreen
    Peripheriegeräte
    Mechanische Tastatur hat integrierten 12,6-Zoll-Touchscreen

    Die Ficihp K2 kann über USB-C als Tastatur und zusätzlicher Bildschirm genutzt werden - mit mechanischen Schaltern und USB-Hub.

  3. Datenschutz bei Whatsapp etc.: Was bei Messengerdiensten zu beachten ist
    Datenschutz bei Whatsapp etc.
    Was bei Messengerdiensten zu beachten ist

    Datenschutz für Sysadmins In einer zehnteiligen Serie behandelt Golem.de die wichtigsten Themen, die Sysadmins beim Datenschutz beachten müssen. Teil 1: Whatsapp & Co.
    Eine Anleitung von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Samsung SSD 2TB Heatsink (PS5) 219,99€ • ebay Re-Store bis -50% gg. Neupreis • Grafikkarten zu Tiefpreisen (Gigabyte RTX 3080 12GB 859€) • MSI-Sale: Gaming-Laptops/PCs bis -30% • Sharkoon PC-Gehäuse -53% • Philips Hue -46% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /