Real Player mit Sicherheitslücken

    He Leutz,
    habe folgendes bei PC Welt gefunden:
    Der Hersteller des Real Players, Real Networks, hat eine Empfehlung heraus gegeben, in der mehrere Sicherheitslücken benannt werden. Real Networks empfiehlt die Installation der bereit gestellten neuen Versionen. Eine der Schwachstellen betrifft auch Mac OS und Linux.


    Click to learn more...

    Die erste Sicherheitslücke kann durch eine präparierte MP3-Datei ausgenutzt werden, durch die eine lokale Datei überschrieben oder ein ActiveX-Steuerelement ausgeführt werden kann.

    Der zweite Schwachpunkt wurde von Idefense entdeckt und betrifft die Möglichkeit, durch Real Text in einer Real-Media-Datei einen Pufferüberlauf zu erzeugen. Dadurch könnte ein Angreifer Programm-Code einschleusen und ausführen.

    Die von Eeye Digital Security berichtete dritte Sicherheitslücke existiert in der Datei "vidplin.dll". Durch eine speziell präparierte Video-Datei im AVI-Format kann ein Pufferüberlauf provoziert werden. Ein Angreifer könnte auf diese Weise Code einschleusen und ausführen.

    Das vierte Problem kann laut Real Networks im Zusammenspiel mit den voreingestellten Sicherheitsoptionen älterer Versionen des Internet Explorers auftreten. Über eine entsprechend präparierte Web-Seite kann eine lokale HTML-Datei angelegt werden. Die Web-Seite kann dann das Abspielen einer RM-Datei (Real Media) anstoßen, die auf die lokale HTML-Datei verweist.

    Unter Windows sind die Versionen 10 und 10.5 des Real Players und der Real One Player von allen vier Schwachstellen betroffen, der Real Player 8 und der Real Player Enterprise von allen bis auf die zuerst genannte. Linux- und Mac-Versionen des Real Players 10 sind lediglich von der zweiten Sicherheitslücke betroffen, ebenso der Real One Player unter Mac OS und der Helix Player unter Linux.

    Real Networks hat neue Versionen der betroffenen Produkte bereit gestellt. Lediglich beim Real Player 10 für Mac und beim Real Player Enterprise für Windows ist es mit einem Update getan.

    Weiß jemand ob bei Real Networks bereits neue Versionen vorhanden sind?
    Habe Real Player 10.5 schon länger drauf und auf der Homepage von Real ist dieser auch nur zu haben, oder ist dies schon ein neuer?

    Have a nice day

    Wolfram

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6

    Habe da was gefunden :oops:

    RealNetworks, Inc. Releases Update to Address Security Vulnerabilities.

    Updated June 23, 2005

    RealNetworks, Inc. has addressed recently discovered security vulnerabilities that offered the potential for an attacker to run arbitrary or malicious code on a customer's machine. RealNetworks has received no reports of machines compromised as a result of the now-remedied vulnerabilities. RealNetworks takes all security vulnerabilities very seriously.

    The specific exploits were:

    * Exploit 1: To fashion a malicious MP3 file to allow the overwriting of a local file or execution of an ActiveX control on a customer's machine.
    * Exploit 2: To fashion a malicious RealMedia file which uses RealText to cause a heap overflow to allow an attacker to execute arbitrary code on a customer's machine.
    * Exploit 3: To fashion a malicious AVI file to cause a buffer overflow to allow an attacker to execute arbitrary code on a customer's machine.
    * Exploit 4: Using default settings of earlier Internet Explorer browsers, a malicious website could cause a local HTML file to be created and then trigger an RM file to play which would then reference this local HTML file.

    Affected Software: (see BLUE below)

    Windows
    Software Affected? Language Update Available?
    RealPlayer 10.5 (6.0.12.1212) No All Supported Not required
    RealPlayer 10.5 (6.0.12.1040-1069) By All All Supported Requires upgrade
    RealPlayer 10 By All All Supported Requires upgrade
    RealOne Player v2 By All All Supported Requires upgrade
    RealOne Player v1 By All English Requires upgrade
    RealPlayer 8 By #2, 3 & 4 All Supported Requires upgrade
    RealPlayer Enterprise By #2, 3 & 4 English Yes

    Note: To see your Player version number (6.0.x.xxxx), select Help > About in the Player menus.

    Software Affected? Language Update Available?
    Rhapsody 3 (build 0.1141) No English Not required
    Rhapsody 3 (build 0.815 - 0.1006) By #3 English Requires upgrade
    Rhapsody 2 No English Not required

    Note: To see your Rhapsody version number (build 0.xxx), select Help > About in the Rhapsody menu.

    Mac
    Software Affected? Language Update Available?
    Mac RealPlayer 10 (10.0.0.305 - 331) By #2 All Supported Yes
    Mac RealOne Player By #2 English Requires upgrade

    Note: To see your Player version number (10.0.0.xxx), select About in the RealPlayer menu.

    Linux
    Software Affected? Language Update Available?
    Linux RealPlayer 10 (10.0.5) No All Provided Not required
    Helix Player (10.0.5) No All Provided Not required
    Linux RealPlayer 10 (10.0.0 - 4) By #2 All Provided Requires upgrade
    Helix Player (10.0.0 - 4) By #2 All Provided Requires upgrade

    Note: To see your Player version number (10.0.0.xxx), select Help > About in the Player menu.

    Handheld Devices
    Software Affected? Language Update Available?
    Nokia Series60 Handsets No English Not Required
    RealPlayer for Palm No English Not Required
    RealOne Player for Palm No English Not Required

    Have a nice day

    Wolfram

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6