• IT-Karriere:
  • Services:

RealPlayer-Update behebt drei Sicherheitslücken

Angreifer können beliebigen Programmcode ausführen

In etlichen Versionen des RealPlayers stecken gefährliche Sicherheitslücken, die das Ausführen beliebigen Programmcodes auf einem fremden System ermöglichen. Dazu genügt es, Anwender zum Öffnen einer manipulierten Skin- oder RealMedia-Datei zu bewegen. RealNetworks hat bereits Updates zur Behebung der Probleme veröffentlicht.

Artikel veröffentlicht am , Julius Stiebert

Präparierte Skin- oder RealMedia-Dateien können in verschiedenen Versionen des RealPlayers einen Stapelüberlauf verursachen und geben dem Angreifer damit die Möglichkeit, beliebigen Programmcode auf dem fremden System auszuführen. Dabei wird durch ein geändertes erstes Datenpaket der RealMedia-Datei-Speicherinhalt überschrieben, was einen Stapelüberlauf erzeugt und es ermöglicht, beliebigen Programmcode auszuführen. Eine ähnliche Sicherheitslücke betrifft Skin-Dateien.

Stellenmarkt
  1. Karlsruher Institut für Technologie (KIT) Campus Nord, Karlsruhe
  2. Axians IKVS GmbH, Münster

Ein weiteres Problem kann bei gepackten Skin-Dateien auftreten. Diese RJS-Dateien können ohne Bestätigung des Nutzers heruntergeladen und geöffnet werden. Es handelt sich um per ZIP komprimierte Grafikdateien und eine INI-Datei, die über die Komprimierungsbibliothek DUNZIP32.DLL entpackt werden. Eine präparierte Datei erzeugt beim Entpacken einen Heap Overflow, wodurch ebenfalls beliebiger Programmcode ausgeführt werden kann.

Die Sicherheitslücken betreffen eine Reihe von RealPlayer-Versionen für die Plattformen Windows, Linux und MacOS X. In den Linux- und MacOS-X-Ausführungen steckt allerdings nur das Sicherheitsloch bei der Verarbeitung der RealMedia-Dateien.

Laut der IT-Sicherheitsfirma eEye sind RealNetworks die Sicherheitslücken bereits seit Juni bekannt, so dass es mehr als vier Monate gedauert hat, bis die Sicherheitslöcher nun geschlossen werden.

RealNetworks bietet ab sofort über ein entsprechendes Sicherheitsdokument Patches für die betroffenen RealPlayer-Versionen zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 34,99€/49,99€ (mit/ohne Spezialangebote)
  2. (u. a. Acer KG241P 144-Hz-Monitor für 159€)
  3. (aktuell u. a. Mushkin Pilot-E 2 TB für 219,90€ + Versand)
  4. (u. a. GTA 5 - Premium Online Edition für 12,99€ und Devil May Cry 5 für 20,99€)

Otti 14. Nov 2005

Ich hasse das teil sooo ;) Seit dem ersten Tag :D


Folgen Sie uns
       


E-Trofit elektrifiziert Dieselbusse - Bericht

Die Ingolstädter Firma E-Trofit elektrifiziert Dieselbusse. Golem.de hat sich die Umrüstung vorführen lassen.

E-Trofit elektrifiziert Dieselbusse - Bericht Video aufrufen
DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Datenschmuggel US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
  2. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  3. Datenschutz Zahl der Behördenzugriffe auf Konten steigt

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Need for Speed Heat im Test: Temporausch bei Tag und Nacht
Need for Speed Heat im Test
Temporausch bei Tag und Nacht

Extrem schnelle Verfolgungsjagden, eine offene Welt und viel Abwechslung dank Tag- und Nachtmodus: Mit dem Arcade-Rennspiel Heat hat Electronic Arts das beste Need for Speed seit langem veröffentlicht. Und das sogar ohne Mikrotransaktionen!
Von Peter Steinlechner

  1. Electronic Arts Need for Speed Heat saust durch Miami

    •  /