Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-678

[RealNetworks/RealPlayer] Pufferüberlauf in RealPlayer 8
(2002-01-31 16:58:49+00)

Quelle: http://www.sentinelchicken.com/advisories/realplayer/

Ein Pufferüberlauf im RealPlayer könnte einem Angreifer die Ausführung beliebigen Programmcodes ermöglichen.

Betroffene Systeme

Einfallstor
RealMedia-Dateien
RealMedia-Streams (TCP-Ports 7070 und 554 für Verbindungsaufbau; UDP-Ports 6970-7170 für eingehende Ströme).

Auswirkung
Die Ausführung beliebigen Programmcodes mit den Rechten des jeweils den RealPlayer ausführenden Benutzers.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der RealPlayer ist ein weit verbreitetes Programm zum Abspielen von Video- und Audiodaten. Neben Unterstützung für fremde Dateitypen besitzt dieser ein eigenes Dateiformat (RealMedia).
RealMedia Daten bestehen in der Regel aus einem Header und dem eigentlichen Datenstrom. Bei der Verarbeitung der einzelnen Zeichenketten im Header tritt ein buffer overflow bug auf. Dieser könnte evtl. dazu benutzt werden um in einem RealMedia Datenstrom bzw. in einer RealMedia Datei beliebigen Programmcode unterzubringen und auf dem betroffenen System auszuführen.

Gegenmaßnahmen
Real stellt auf seiner Webseite Patches zur Verfügung.
Für RealPlayer 7 und RealPlayer G2 wird kein Patch angeboten. Es wird das Update auf eine neuere Version empfohlen.

Weitere Information zu diesem Thema

(ig)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=678