int(1107)

Vulnerability Bulletins


Desbordamiento de búfer en RealPlayer y RealOne

Vulnerability classification

Property Value
Confidence level Oficial
Impact Obtener acceso
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio exotico

System information

Property Value
Affected manufacturer Comercial Software
Affected software RealPlayer 10.5 (6.0.12.1053)
RealPlayer 10.5 (6.0.12.1040)
RealPlayer 10.5 Beta (6.0.12.1016)
RealPlayer 10
RealOne Player v2
RealOne Player v1

Description

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en múltiples versiones de RealPlayer y RealOne sobre Windows. La vulnerabilidad reside en el manejo de pieles ("skins") por parte de la librería de compresión DUNZIP32.DLL.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario mediante un archivo de piel especialmente diseñado que la víctima debe intentar utilizar.

Solution



Actualización de software

RealPlayer 10.5 Beta y RealOne Player v1
Actualice su sistema desde el siguiente enlace:
http://service.real.com/help/faq/security/041026_player/EN/player.rnx
O bien utilice la opción de buscar actualizaciones incluida en el programa, e instale la marcada como "RealPlayer 10.5 with Harmony Technology".

RealPlayer 10, RealPlayer 10.5 y RealOnePlayer v2
Actualice su sistema desde el siguiente enlace:
http://service.real.com/help/faq/security/041026_player/EN/dunzip.rnx
O bien utilice la opción de buscar actualizaciones incluida en el programa, e instale la marcada como "Security Update - Skin File Overflow".

Standar resources

Property Value
CVE
BID

Other resources

RealNetworks, Inc. Security Advisory
http://service.real.com/help/faq/security/041026_player/EN/

eEye Security Advisory AD20041027
http://www.eeye.com/html/research/advisories/AD20041027.html

Version history

Version Comments Date
1.0 Aviso emitido 2004-10-27
1.1 Aviso emitido por eEye (AD20041027) 2004-10-28
Ministerio de Defensa
CNI
CCN
CCN-CERT