Real Networks устранила четыре серьезные уязвимости в своих медиаплеерах

Real Networks устранила четыре серьезные уязвимости в медиаплеерах Real, Rhapsody и Helix (скачать обновление можно здесь). Две из четырех уязвимостей были связаны с переполнением буфера. Чтобы атаковать пользователей плееров, злоумышленникам было достаточно всего лишь проиграть медиафайл.

Один из недостатков использовал формат .avi для переполнения динамической памяти атакуемой машины и позволяла хакерам устанавливать полный контроль над системой. Использовать уязвимость можно было с помощью веб-ресурса, на котором размещался видеофайл, запускавшийся автоматически.

Еще одна уязвимость в Real позволяла злоумышленникам создавать MP3-файлы, которые перезаписывали себя на файлы, хранящиеся в системе пользователя или запускали панели ActiveX. ActiveX позволяет скачивать и устанавливать приложения на компьютер без участия пользователя.

Последняя из брешей использовала дефолтные установки в ранних версиях Internet Explorer и на их базе создавала специальные файлы, которые автоматически запускались через Real плеер. Ни одна из-за заявленных уязвимостей не касается Real плееров для телефонов Nokia и компьютеров Palm.

Vnunet.com