Se han anunciado siete vulnerabilidades de ejecución remota de código en RealNetworks RealPlayer, que podrían permitir a un atacante comprometer los sistemas afectados.
El primero de los problemas reside en el tratamiento de archivos IVR específicamente construidos, mientras que un segundo problema se presenta al procesar URIs CDDA de gran longitud. Otra vulnerabilidad se encuentra en los plugins del navegador al procesar argumentos al método «RecordClip()».
Las cuatro últimas vulnerabilidades residen en desbordamientos de búfer, en «rjrmrpln.dll» al procesar elementos Name Value Property (NVP); el Control ActiveX RealPlayer al procesar argumentos de gran longitud finalizados con «.smil» mientras trata URIs «tfile», «pnmm», o «cdda»; al procesar contenido de audio QCP y por último en el componente RichFX.
Todos los problemas pueden explotarse directamente cuando un usuario visite una página web y afectan a RealPlayer SP versión 1.1.4 (y anteriores) y RealPlayer Enterprise 2.1.2 (y anteriores). Se recomienda actualizar a RealPlayer SP 1.1.5 o RealPlayer Enterprise 2.1.3 desde http://es.real.com/.
antonior@hispasec.com
Más información:
RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables
http://service.real.com/realplayer/security/10152010_player/es/
Deja una respuesta