Mise à jour à la vulnérabilité€ de œRealPlayer d'â découverte dans le �€ de Wildâ

Plus de vulnérabilités trouvées ; Plus de plateformes affectées

Sévérité : Haut

26 octobre 2007

Mise à jour :

Le lundi 22 octobre, nous avons édité alerte au sujet d'une vulnérabilité sérieuse qui affecte le bêta fonctionnement de RealPlayer 10.5 et de RealPlayer 11 sur Windows. En attirant un de vos utilisateurs à un site Web malveillant, un attaquant peut exploiter cette vulnérabilité pour exécuter le code sur l'ordinateur de votre utilisateur, avec les privilèges de votre utilisateur. Dans le scénario des cas les pires, l'attaquant a pu gagner la commande totale du PC de la victime. RealNetworks a libéré une pièce rapportée à la difficulté qui problème. Cependant, il s'avère que la mise à jour a marqué juste le commencement des trous de sécurité de RealNetwork.

Hier en retard, RealNetwork a libéré la deuxième série de mises à jour de sécurité cette semaine, cette fois fixant six vulnérabilités sérieuses dans leur produit de joueur de médias. Voici ce que vous devez connaître les nouvelles pailles.

Les nouvelles pailles affectent beaucoup plus de produits que la paille plus tôt, y compris les produits qui courent dans OS X et Linux. Les produits affectés incluent maintenant :

• RealPlayer 8, 10, 10.5, 11 pour Windows, imper, et Linux
• Joueur v1 et v2 de RealOne pour Windows, et joueur de RealOne pour l'imper
• Entreprise de RealPlayer
• Joueur 10.0.x de spirale pour Linux.

Bien que ces nouvelles pailles diffèrent les uns des autres techniquement, elles partagent beaucoup de similitudes. Par exemple, chacune des six pailles implique vulnérabilités de débordement d'amortisseur déclenché quand RealPlayer analyse des médias particulièrement ouvrés classe. Ils partagent également la mêmes portée et impact. Si un attaquant peut attirer un de vos utilisateurs dans le téléchargement les médias avec malveillance ouvrés classent, alors le jouant dans RealPlayer, l'attaquant peut exploiter quelconque d'entre ces vulnérabilités pour exécuter le code d'attaque sur l'ordinateur de cet utilisateur. Selon les privilèges de l'utilisateur, un attaquant a pu même exploiter ces pailles pour gagner la commande de la machine des victimr. La seule différence notable parmi les pailles est qu'un attaquant emploie un format différent de dossier de médias pour exploiter chacun. Les dossiers potentiellement dangereux de médias qui déclenchent ces pailles sont :

• Dossiers de RealMedia (.rm)
• MP3 dossiers audio (.mp3)
• Flash dossiers (.swf)
• Méta-données de RealAudio dossiers (.ram)
• Playlist dossiers (.pls)
• Langue synchronisée d'intégration de multimédia dossiers (.smil).

À la différence de la paille couverte dans notre alerte du 22 octobre, RealNetworks a pas attaquants trouvés exploitant ces nouvelles pailles dans le sauvage encore. Néanmoins, ces trous de sécurité constituent une menace sérieuse aux utilisateurs de RealPlayer. Vous devriez télécharger, examiner, et déployer ces nouvelles pièces rapportées dès que vous pourrez, si vous avez appliqué la mise à jour précédente de RealPlayer à partir du lundi. Comment vous téléchargez les mises à jour diffère selon quel produit vous employez. Référez-vous à la section de « instructions » de Mise à jour de sécurité de RealNetworks for detailed directions on patching the different media player products.

As a convenient reference, we’ve duplicated the 22 October RealPlayer alert, below. You can also find it in the LiveSecurity Latest Broadcasts archive.

---

Summary:

Late Friday, RealNetworks released a patch for a critical vulnerability affecting RealPlayer 10.5 and RealPlayer 11 beta running on Windows. By enticing one of your users to a malicious Web site, an attacker can exploit this vulnerability to execute code on your user’s computer, with your user’s privileges. In the worst case scenario, the attacker could gain total control of the victim’s PC. If you allow the use of RealPlayer in your network, have your users upgrade immediately.

Exposure:

RealPlayer and RealOne Player are widely-used software for Internet media delivery. RealOne Player plays virtually every major Internet media format, including Windows Media, Quicktime, MPEG-4, and even DVDs. If you’ve watched streaming videos on the Internet, or listened to music samples while buying CDs online, you’ve probably encountered RealPlayer.

WatchGuard does not recommend using RealPlayer or RealOne Player, partly because both contain automatic communication features which, by default, let RealNetworks and RealNetwork’s “partners” (such as NASCAR and CNN) install software on your client computers. But in reality, many of your users have probably installed one of these products, with or without your permission.

In a security update released late Friday, RealNetworks warned of a new vulnerability that affects RealPlayer 10.5 and 11 beta running on Windows. (OS X and Linux users are not affected.) The flaw, discovered in the wild by Symantec, involves a buffer overflow vulnerability in one of RealPlayer’s ActiveX controls (specifically, ierpplug.dll). By enticing one of your users to a malicious Web site, an attacker can pass an over-long parameter to the vulnerable ActiveX control, which triggers the buffer overflow flaw. The attacker can then exploit the flaw to execute code on your user’s computer, inheriting your user’s privileges. Windows administrators often give users local administrator rights. If the exploit is successful in that context, the attacker would gain complete control of your user’s machine.

Symantec found attackers exploiting this vulnerability in the wild. In other words, the bad guys found the flaw first and are actively using it to break into computers. If you use RealPlayer in your network, this vulnerability poses a critical risk. You should apply RealNetwork’s update immediately.

Solution Path:

RealNetworks has released a patch to correct this vulnerability. Clients who use RealPlayer 10.5 or 11 beta in Windows should upgrade immediately, or remove the software entirely. You can download RealNetwork’s patch here.

For All WatchGuard Users:

The vulnerability described in our alert uses normal HTTP traffic, which you must allow for your users to browse the Web. If you use RealPlayer in your network, you should download RealNetwork’s update as soon as possible.

Status:

RealNetworks has issued a Security Update that fixes the problem.

References:

• RealNetworks Security Update

Symantec’s RealPlayer Alert