int(1107)

Boletines de Vulnerabilidades


Desbordamiento de búfer en RealPlayer y RealOne

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado Comercial Software
Software afectado RealPlayer 10.5 (6.0.12.1053)
RealPlayer 10.5 (6.0.12.1040)
RealPlayer 10.5 Beta (6.0.12.1016)
RealPlayer 10
RealOne Player v2
RealOne Player v1

Descripción

Se ha descubierto una vulnerabilidad de desbordamiento de búfer en múltiples versiones de RealPlayer y RealOne sobre Windows. La vulnerabilidad reside en el manejo de pieles ("skins") por parte de la librería de compresión DUNZIP32.DLL.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario mediante un archivo de piel especialmente diseñado que la víctima debe intentar utilizar.

Solución



Actualización de software

RealPlayer 10.5 Beta y RealOne Player v1
Actualice su sistema desde el siguiente enlace:
http://service.real.com/help/faq/security/041026_player/EN/player.rnx
O bien utilice la opción de buscar actualizaciones incluida en el programa, e instale la marcada como "RealPlayer 10.5 with Harmony Technology".

RealPlayer 10, RealPlayer 10.5 y RealOnePlayer v2
Actualice su sistema desde el siguiente enlace:
http://service.real.com/help/faq/security/041026_player/EN/dunzip.rnx
O bien utilice la opción de buscar actualizaciones incluida en el programa, e instale la marcada como "Security Update - Skin File Overflow".

Identificadores estándar

Propiedad Valor
CVE
BID

Recursos adicionales

RealNetworks, Inc. Security Advisory
http://service.real.com/help/faq/security/041026_player/EN/

eEye Security Advisory AD20041027
http://www.eeye.com/html/research/advisories/AD20041027.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2004-10-27
1.1 Aviso emitido por eEye (AD20041027) 2004-10-28

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT