Le lecteur de Real Networks (RNWK) est très régulièrement la victime de trous...

Le lecteur de Real Networks (RNWK) est très régulièrement la victime de trous...

Ça devient une habitude. De nouvelles failles critiques ont été mises à jour dans Real Player et Real One. Les dernières datent de fin septembre... Découvertes par eEye Digital Security et NGS Software, elles permettent à un attaquant distant de compromettre un système vulnérable.

Trois vulnérabilités impactent les célèbres lecteurs multimédias. La première est la conséquence d'une erreur de type stack overflow dans la gestion de certains fichiers Real Media malformées. Il suffirait alors à un pirate d'inciter un utilisateur à visiter une page web malicieuse contenant un fichier «.rm» spécialement conçu pour pouvoir prendre le contrôle du système.

La deuxième et la troisième faille exploitent des erreurs dans des fichiers skins malformés qui pourraient véhiculer des commandes arbitraires.

RealPlayer 10.5 (6.0.12.1040-1235), RealPlayer 10, RealOne Player v2

RealOne Player v1, RealPlayer 8, RealPlayer Enterprise 1.1, 1.2, 1.5, 1.6, 1.7, Mac RealPlayer 10 (10.0.0.305 - 331), Linux RealPlayer 10 (10.0.0 - 5) et Helix Player (10.0.0 - 5) sont concernés.

Les correctifs sont disponibles sur le site de Real.