You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1025

[MS/Realplayer,RealOne] Ausführung von Programmcode möglich
(2002-12-05 17:02:06.577856+00) Druckversion

Quelle: http://cert.uni-Stuttgart.DE/archive/bugtraq/2002/11/msg00313.html

RealOne/RealPlayer weist mehrere Pufferüberlaufschwachstellen auf, durch die beliebiger Programmcode ausgeführt werden kann.

Betroffene Systeme

  • RealOne Player und RealOne Player V2
  • RealPlayer
  • RealOne Enterprise Desktop

Einfallstor
Arglistige Webseiten bzw. direktes Öffnen von Dateien mittels RealOne/RealPlayer

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des RealPlayer-Prozesses

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der RealPlayer/RealOne weist mehrere Pufferüberlaufschwachstellen auf, durch die potentiell beliebiger Programmcode ausgeführt werden kann.

  • Eine Pufferüberlaufschwachstelle bei der Verarbeitung von überlangen Parametern von Synchronized Multimedia Integration Language (SMIL-)Dateien, die z.B. durch einen Klick auf einen Link ausgeführt werden.
  • Eine Pufferüberlaufschwachstelle bei der Verarbeitung von Dateinamen z.B. innerhalb rtsp://-Pfaden oder HTTP-URLs.
  • Ein nicht näher beschriebener Parsing-Fehler beim Laden von Dateien, der nach Angaben von RealNetworks durch verbesserte URL-Verarbeitung in den neuen Versionen behoben wurde.

Gegenmaßnahmen
RealNetworks stellen einen Patch zur Verfügung:

Ferner kann mittels der Funktion "Jetzt auf Update prüfen" unter "Ansicht|Einstellungen|Upgrade" nach möglichen Updates (z.B. von RealPlayer auf RealOne) gesucht werden.

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.