Thema: Real-Medien schleusen Code in Unix-Systeme

Forum: Boardnews und Infos

Autor: IhmSelbst


IhmSelbst - 27/9/2005 um 12:38


Zitat:
Real-Medien schleusen Code in Unix-Systeme

Die Real- und Helixplayer für Unix enthalten einen Fehler, der das Einschleusen und Ausführen von fremden Code durch präparierte Medien-Dateien ermöglicht. Das Sicherheitsloch kann auftreten, wenn die Player manipulierte .rp-Dateien (realpix) beziehungsweise .rt-Dateien (realtext) abspielen.

Es handelt sich bei der Lücke um eine Format-String-Schwachstelle. Hierbei kann über weitere Umwege ein Pointer verbogen werden, der dann auf ausführbaren Code zeigt. Betroffen sind Realplayer für Unix 10.0.5 Gold und davor sowie der Helixplayer für Unix in Version 1.0.5 Gold und ältere. Laut dem Advisory von Open Security ist der Hersteller bereits über die Lücke informiert und arbeitet an einem Update.

Da bis jetzt kein Workaround oder Update verfügbar ist und das Advisory Proof-of-Concept-Code enthält, sollten Anwender der betroffenen Versionen vorerst keine realpix- oder realtext-Dateien aus dem Netz abspielen. Auch Playlisten (.rm/.ram) sollten Nutzer der Unix-Player bis zur Verfügbarkeit neuer Versionen meiden, da die Playlisten .rp- und .rt-Dateien einbinden können.

Siehe dazu auch:

* Security Advisory[1] von Open Security
* Downloads[2] von Helix Player/Real Player

(dmk[3]/c't) (dmk/c't)

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/64311

Links in diesem Artikel:
[1] http://www.open-security.org/advisories/13
[2] https://helixcommunity.org/projects/player/
[3] mailto:dmk@ct.heise.de


quelle:
http://www.heise.de/newsticker/meldung/print/64311


cu

Dieses Thema kommt von : eD2K-Serverboard
http://ed2k-serverboard.de

URL dieser Webseite:
http://ed2k-serverboard.de/modules.php?name=eBoard&file=viewthread&fid=31&tid=434