• IT-Karriere:
  • Services:

RealPlayer-Update behebt drei Sicherheitslücken

Angreifer können beliebigen Programmcode ausführen

In etlichen Versionen des RealPlayers stecken gefährliche Sicherheitslücken, die das Ausführen beliebigen Programmcodes auf einem fremden System ermöglichen. Dazu genügt es, Anwender zum Öffnen einer manipulierten Skin- oder RealMedia-Datei zu bewegen. RealNetworks hat bereits Updates zur Behebung der Probleme veröffentlicht.

Artikel veröffentlicht am , Julius Stiebert

Präparierte Skin- oder RealMedia-Dateien können in verschiedenen Versionen des RealPlayers einen Stapelüberlauf verursachen und geben dem Angreifer damit die Möglichkeit, beliebigen Programmcode auf dem fremden System auszuführen. Dabei wird durch ein geändertes erstes Datenpaket der RealMedia-Datei-Speicherinhalt überschrieben, was einen Stapelüberlauf erzeugt und es ermöglicht, beliebigen Programmcode auszuführen. Eine ähnliche Sicherheitslücke betrifft Skin-Dateien.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. über duerenhoff GmbH, Raum Wien (Österreich)

Ein weiteres Problem kann bei gepackten Skin-Dateien auftreten. Diese RJS-Dateien können ohne Bestätigung des Nutzers heruntergeladen und geöffnet werden. Es handelt sich um per ZIP komprimierte Grafikdateien und eine INI-Datei, die über die Komprimierungsbibliothek DUNZIP32.DLL entpackt werden. Eine präparierte Datei erzeugt beim Entpacken einen Heap Overflow, wodurch ebenfalls beliebiger Programmcode ausgeführt werden kann.

Die Sicherheitslücken betreffen eine Reihe von RealPlayer-Versionen für die Plattformen Windows, Linux und MacOS X. In den Linux- und MacOS-X-Ausführungen steckt allerdings nur das Sicherheitsloch bei der Verarbeitung der RealMedia-Dateien.

Laut der IT-Sicherheitsfirma eEye sind RealNetworks die Sicherheitslücken bereits seit Juni bekannt, so dass es mehr als vier Monate gedauert hat, bis die Sicherheitslöcher nun geschlossen werden.

RealNetworks bietet ab sofort über ein entsprechendes Sicherheitsdokument Patches für die betroffenen RealPlayer-Versionen zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 149,00€ (Bestpreis!)
  2. 477,00€ (Bestpreis!)
  3. 589,00€ (Bestpreis!)
  4. 649,99€ (Bestpreis!)

Otti 14. Nov 2005

Ich hasse das teil sooo ;) Seit dem ersten Tag :D


Folgen Sie uns
       


O2 Free Unlimited im Test

Wir haben die beiden in der Geschwindigkeit beschränkten Smartphone-Tarife von Telefónica getestet, die eine echte Datenflatrate anbieten. Selbst der kleine Tarif O2 Free Unlimited Basic ist für typische Smartphone-Aufgaben ausreichend.

O2 Free Unlimited im Test Video aufrufen
    •  /