martes, 19 de octubre de 2010

Múltiples vulnerabilidades en RealNetworks RealPlayer

Se han anunciado siete vulnerabilidades de ejecución remota de código en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.

El primero de los problemas reside en el tratamiento de archivos IVR específicamente construidos, mientras que un segundo problema se presenta al procesar URIs CDDA de gran longitud. Otra vulnerabilidad se encuentra en los plugins del navegador al procesar argumentos al método "RecordClip()".

Las cuatro últimas vulnerabilidades residen en desbordamientos de búfer, en "rjrmrpln.dll" al procesar elementos Name Value Property (NVP); el Control ActiveX RealPlayer al procesar argumentos de gran longitud finalizados con ".smil" mientras trata URIs "tfile", "pnmm", o "cdda"; al procesar contenido de audio QCP y por último en el componente RichFX.

Todos los problemas pueden explotarse directamente cuando un usuario visite una página web y afectan a RealPlayer SP versión 1.1.4 (y anteriores) y RealPlayer Enterprise 2.1.2 (y anteriores). Se recomienda actualizar a RealPlayer SP 1.1.5 o RealPlayer Enterprise 2.1.3 desde http://es.real.com/.


Antonio Ropero
antonior@hispasec.com


Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables
http://service.real.com/realplayer/security/10152010_player/es/

No hay comentarios:

Publicar un comentario en la entrada