Original-URL des Artikels: https://www.golem.de/0503/36629.html    Veröffentlicht: 02.03.2005 10:49    Kurz-URL: https://glm.io/36629

Schwerwiegende Sicherheitslöcher im RealPlayer

Einschleusung und Ausführung von Programmcode möglich

In etlichen Versionen des RealPlayer stecken zwei schwere Sicherheitslöcher, über die Angreifer beliebigen Programmcode auf einem fremden System ausführen können. Dazu genügt es, ein Opfer etwa zum Öffnen einer manipulierten WAV-Datei zu bringen. Angreifer erhalten dann eine umfassende Kontrolle über andere Rechner. RealNetworks hat einen Patch zur Abhilfe des Problems veröffentlicht.

Eine manipulierte WAV-Datei kann einen Buffer Overrun im RealPlayer verursachen, der es einem Angreifer gestattet, beliebigen Programmcode auszuführen und sich so eine umfassende Kontrolle über fremde Systeme zu verschaffen. Eine weitere Sicherheitslücke lässt sich über präparierte SMIL-Dateien mit den gleichen Resultaten ausnutzen, wenn die betreffende Datei mit dem RealPlayer geöffnet wird.

Die Sicherheitslücken betreffen eine Reihe von RealPlayer-Versionen auf den Plattformen Windows, Linux und MacOS X. In den MacOS-X-Versionen steckt nur das Sicherheitsloch mit den SMIL-Dateien, während die WAV-Dateilücke sowohl die Windows- als auch die Linux-Version betrifft.

Real Networks bietet ab sofort über ein entsprechendes Sicherheitsdokument Patches für die betroffenen RealPlayer-Versionen kostenlos zum Download an.  (ip)


Verwandte Artikel:
Schwere Sicherheitslücke im RealPlayer   
(27.10.2004, https://glm.io/34414 )
Sicherheitsleck im Real Player gestattet Programmausführung   
(11.06.2004, https://glm.io/31701 )
Sicherheits-Patches für RealPlayer gegen gefährliche Lücken   
(05.02.2004, https://glm.io/29610 )
RealNetworks: Ausverkauf bei Online-Musik   
(17.08.2004, https://glm.io/33017 )
RealOne Player 2.0 in lokalisierten Versionen erhältlich   
(09.10.2002, https://glm.io/22050 )

Links zum Artikel:
Real Networks (.com): http://www.real.com
Real Networks Deutschland (.com): http://germany.real.com/

© 1997–2020 Golem.de, https://www.golem.de/