Abo
  • Services:

RealPlayer-Update behebt drei Sicherheitslücken

Angreifer können beliebigen Programmcode ausführen

In etlichen Versionen des RealPlayers stecken gefährliche Sicherheitslücken, die das Ausführen beliebigen Programmcodes auf einem fremden System ermöglichen. Dazu genügt es, Anwender zum Öffnen einer manipulierten Skin- oder RealMedia-Datei zu bewegen. RealNetworks hat bereits Updates zur Behebung der Probleme veröffentlicht.

Artikel veröffentlicht am , Julius Stiebert

Präparierte Skin- oder RealMedia-Dateien können in verschiedenen Versionen des RealPlayers einen Stapelüberlauf verursachen und geben dem Angreifer damit die Möglichkeit, beliebigen Programmcode auf dem fremden System auszuführen. Dabei wird durch ein geändertes erstes Datenpaket der RealMedia-Datei-Speicherinhalt überschrieben, was einen Stapelüberlauf erzeugt und es ermöglicht, beliebigen Programmcode auszuführen. Eine ähnliche Sicherheitslücke betrifft Skin-Dateien.

Stellenmarkt
  1. Hochschule Albstadt-Sigmaringen, Albstadt
  2. Robert Bosch GmbH, Böblingen

Ein weiteres Problem kann bei gepackten Skin-Dateien auftreten. Diese RJS-Dateien können ohne Bestätigung des Nutzers heruntergeladen und geöffnet werden. Es handelt sich um per ZIP komprimierte Grafikdateien und eine INI-Datei, die über die Komprimierungsbibliothek DUNZIP32.DLL entpackt werden. Eine präparierte Datei erzeugt beim Entpacken einen Heap Overflow, wodurch ebenfalls beliebiger Programmcode ausgeführt werden kann.

Die Sicherheitslücken betreffen eine Reihe von RealPlayer-Versionen für die Plattformen Windows, Linux und MacOS X. In den Linux- und MacOS-X-Ausführungen steckt allerdings nur das Sicherheitsloch bei der Verarbeitung der RealMedia-Dateien.

Laut der IT-Sicherheitsfirma eEye sind RealNetworks die Sicherheitslücken bereits seit Juni bekannt, so dass es mehr als vier Monate gedauert hat, bis die Sicherheitslöcher nun geschlossen werden.

RealNetworks bietet ab sofort über ein entsprechendes Sicherheitsdokument Patches für die betroffenen RealPlayer-Versionen zum Download an.



Anzeige
Blu-ray-Angebote
  1. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)

Otti 14. Nov 2005

Ich hasse das teil sooo ;) Seit dem ersten Tag :D


Folgen Sie uns
       


Huawei P20 Pro - Hands on

Huaweis neues Smartphone P20 Pro kommt mit drei Hauptkameras und einer Reihe von KI-Funktionen. Wir haben uns das Gerät in einem ersten Hands on angeschaut.

Huawei P20 Pro - Hands on Video aufrufen
Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /