RealPlayer si buca con un WAV

RealNetworks ha corretto due serie vulnerabilitÓ di sicurezza contenute in alcune diffusissime versioni dei propri player per Windows, Mac e Linux

Roma - Negli scorsi giorni RealNetworks ha distribuito alcune patch che correggono due insidiosi buchi di sicurezza celati all'interno dei suoi famosi player multimediali.

Le vulnerabilitÓ, che interessano diverse versioni dei player Helix, RealOne, e RealPlayer/Enterprise, sono entrambe originate da due errori di tipo buffer overflow: uno Ŕ contenuto nel codice di decodifica dei file audio WAV, l'altro nel codice che gestisce i file in formato SMIL (Synchronized Multimedia Integration Language).

"Un cracker che sfrutti con successo questa vulnerabilitÓ pu˛ essere in grado di eseguire del codice a sua scelta", ha spiegato Secunia in questo advisory.
Un aggressore potrebbe far leva su questa debolezza creando un file WAV o SMIL malevolo e inducendo l'utente ad aprirlo con uno dei player di RealNetworks.

Gli utenti di RealOne e RealPlayer per Windows e Mac possono aggiornare automaticamente il software via Internet, mentre gli altri devono scaricare manualmente le patch da qui per Helix, da qui per Linux o da qui per RealPlayer Enterprise.
TAG: sicurezza
19 Commenti alla Notizia RealPlayer si buca con un WAV
Ordina
  • Se fate un update e un upgrade avrete helixplayer aggiornatoSorride Alla faccia di chi ci vuole male! RealPlayer invece purtroppo no, perchè essendo software closed ha le sue proprie procedure di installazione e nessuno ha voglia di starlo a integrare in fedora (nel core non ci può neanche entrare dato che non è software libero ma bisogna accettare la licenza - ma prima che qualcuno trolli vorrei far notare che in windows non ti danno neanche un programma di masterizzazione, altro che realplayer).

    non+autenticato
  • Support for burning CDs on CD-R and CD-RW drives is integrated into Windows Explorer.
    non+autenticato

  • - Scritto da: Anonimo
    > Support for burning CDs on CD-R and CD-RW drives
    > is integrated into Windows Explorer.

    Fino al 98 SE non era cosi'
    non+autenticato
  • nel 200 AC non avevano nemmeno i pc
    non+autenticato
  • ... questo formato proprietario non scompare?
    Cosa lo tiene in vita?
    E' odioso.
    Quando poi trovo un sito che fornisce contenuti in formato .rm, lo mando subito a quel paese (o al limite me lo guardo con real-alternative ma non sempre va').
    Personalmente mi rifiuto persino di installare il player per tutti i suoi dictat e imposizioni da cui non ti liberi piu', e come me fanno quasi tutti da quel che si sente in giro.

    non+autenticato
  • Non è che voglio difendere Real, anzi, comunque la nuova versione del player e il formato Real 10 sono opensource, anche se non con licenza GPL.

    Se guardi i link dell' articolo:
    https://player.helixcommunity.org/2004/downloads/
    vedi che da qui si possono scaricare anche i sorgenti.
    Se non ti piace il player di Real, che effettivamente rompe un bel po' le scatole, ci sono delle alternative...
    il fatto è che Real 10 è un codec veramente ottimo, molto superiore a mio parere a Mpeg4 (Divx e Windows Media 9) e addirittura a H264 (alias Mpeg4 profile 10)
  • Non esiste la versione opensource di RealOne per Windows?
    non+autenticato

  • - Scritto da: Anonimo
    > ... questo formato proprietario non scompare?
    > Cosa lo tiene in vita?
    > E' odioso.
    > Quando poi trovo un sito che fornisce contenuti
    > in formato .rm, lo mando subito a quel paese (o
    > al limite me lo guardo con real-alternative ma
    > non sempre va').
    > Personalmente mi rifiuto persino di installare il
    > player per tutti i suoi dictat e imposizioni da
    > cui non ti liberi piu', e come me fanno quasi
    > tutti da quel che si sente in giro.

    Ad esempio perchè Microsoft mi impedisce di installare la nuova versione di Media Player se non passo ad XP (io uso 2000 Professional). E perchè il codec è buono.
    non+autenticato
  • Mi rifiuto di credere che su Linux un qualsiasi baco software possa costituire una vulnerabilità. Ci pensa il sistema operativo che è rock-solid a impedire che possa fare danno.

    Posso capire su Windows ma su Linux semplicemente non è possibile.
    non+autenticato
  • Da utente anzichè da root, ma sempre danno può fareSorride Pensa se ti cancellassero la home!
    non+autenticato
  • Però se vuoi puoi isolare il programmillo in una chroot e dormire sonni molto più tranquilli. Oppure usare selinux (fedora lo attiva di default) per creare una policy apposta per l'unico programma closed che usi su linux (realplayer) e dormire sonni straordinariamente tranquilli.
    non+autenticato

  • - Scritto da: Anonimo
    > Però se vuoi puoi isolare il programmillo in una
    > chroot e dormire sonni molto più tranquilli.
    > Oppure usare selinux (fedora lo attiva di
    > default) per creare una policy apposta per
    > l'unico programma closed che usi su linux
    > (realplayer) e dormire sonni straordinariamente
    > tranquilli.
    oppure usi un vero sistema operativo come win o osx in cui funzioni realmente uno straccio di aggiornamento automatico, senza doverti sbattere
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > Però se vuoi puoi isolare il programmillo in una
    > > chroot e dormire sonni molto più tranquilli.
    > > Oppure usare selinux (fedora lo attiva di
    > > default) per creare una policy apposta per
    > > l'unico programma closed che usi su linux
    > > (realplayer) e dormire sonni straordinariamente
    > > tranquilli.
    > oppure usi un vero sistema operativo come win o
    > osx in cui funzioni realmente uno straccio di
    > aggiornamento automatico, senza doverti sbattere

    update che ti protegge solo dal momento in cui esce l'aggiornamento, fino a quel momento sei vulnerabile alla faccia di qualsiasi automatismo... i suggerimenti citati invece aiutano a *prevenire* il problema, come dovrebbe essere possibile in un "vero sistema operativo", volpone di un Troll ...

    KaysiX
    non+autenticato
  • Come da soggetto! Conoscete così poco l'informatica da credere che la funzionalità di aggiornamento automatico o automatizzabile, comunque che liberi l'utente dalla necessità di informarsi su quali aggiornamenti siano disponibili e scaricare e installare i programmi a manina è nato nelle distribuzioni *bsd e in forma binaria in debian. POI e solo POI ci sono arrivati anche microsoft e apple.
    non+autenticato
  • - Scritto da: Anonimo
    > Mi rifiuto di credere che su Linux un qualsiasi
    > baco software possa costituire una vulnerabilità.
    > Ci pensa il sistema operativo che è rock-solid a
    > impedire che possa fare danno.

    Mi stupisco del tuo stupore.

    Non esiste un sistema operativo sicuro al 100%: nemmeno os/390 (IBM Mainframe, CICS, ecc..) o os/400 (AS/400), che sono letteralmente blindati, sono esenti da bug.

    L'informatica in genere e le preferenze verso un particolare sistema operativo non sono dogma assoluti, l'importante è come e cosa implementi come daemons, servizi, ecc...


  • - Scritto da: The_Stinger
    > - Scritto da: Anonimo
    > > Mi rifiuto di credere che su Linux un qualsiasi
    > > baco software possa costituire una
    > vulnerabilità.
    > > Ci pensa il sistema operativo che è rock-solid a
    > > impedire che possa fare danno.
    >
    > Mi stupisco del tuo stupore.
    >
    > Non esiste un sistema operativo sicuro al 100%:
    > nemmeno os/390 (IBM Mainframe, CICS, ecc..) o
    > os/400 (AS/400), che sono letteralmente blindati,
    > sono esenti da bug.
    >
    > L'informatica in genere e le preferenze verso un
    > particolare sistema operativo non sono dogma
    > assoluti, l'importante è come e cosa implementi
    > come daemons, servizi, ecc...
    >

    Il fatto che non esistano sistemi che al 100% non garantiscono .... blah ... bla.. non li rende comunque tutti uguali!
    Per il resto delle considerazioni (intelligentessime e innovative) di questo tuo post qualcuno aveva gia' detto che e' meglio essere belli ricchi e in buona salute piuttosto che poveri brutti e ammalati!

    I miei complimenti!A bocca aperta
    non+autenticato

  • - Scritto da: The_Stinger
    > - Scritto da: Anonimo
    > > Mi rifiuto di credere che su Linux un qualsiasi
    > > baco software possa costituire una
    > vulnerabilità.
    > > Ci pensa il sistema operativo che è rock-solid a
    > > impedire che possa fare danno.
    >
    > Mi stupisco del tuo stupore.
    >
    > Non esiste un sistema operativo sicuro al 100%:
    > nemmeno os/390 (IBM Mainframe, CICS, ecc..) o
    > os/400 (AS/400), che sono letteralmente blindati,
    > sono esenti da bug.
    >
    > L'informatica in genere e le preferenze verso un
    > particolare sistema operativo non sono dogma
    > assoluti, l'importante è come e cosa implementi
    > come daemons, servizi, ecc...
    >

    Sulla parola dogma vedi:

    http://www.demauroparavia.it/36185

    Se almeno una persona imparerà qualosa di nuovo da questo post, scriverlo avrà avuto senso.

    Mi scuso con chi lo troverà non attinente, ma l'ho segnalato nel titolo.

    non+autenticato

  • - Scritto da: Anonimo

    > > L'informatica in genere e le preferenze verso un
    > > particolare sistema operativo non sono dogma
    > > assoluti, l'importante è come e cosa implementi
    > > come daemons, servizi, ecc...
    > >
    >
    > Sulla parola dogma vedi:
    >
    > http://www.demauroparavia.it/36185
    >
    > Se almeno una persona imparerà qualosa di nuovo
    > da questo post, scriverlo avrà avuto senso.
    >
    > Mi scuso con chi lo troverà non attinente, ma
    > l'ho segnalato nel titolo.
    >

    "qualosa" ? Sei toscano?

    Guarda che si capisce benissimo cosa voleva dire, bastava dire "verso un particolare sistema operativo non è un dogma".

    Ma quando non hai argomentazioni ti arrampichi sugli errorini grammaticali altrui?

    Sei anche un'ipocrita perché prima di cercare gli errorini altrui sarebbe meglio se controllassi i tuoi prima di postare.

    La frase "Non esistono dogma, ma dogmi" non ha senso.

    Inoltre hai sbagliato a scrivere, hai scritto "qualosa" in luogo di "qualcosa", sei mica toscano?

    "Non esistono" si aspetta una parola al plurale non al singolare, dovevi usare un'altra formula per dire quello che cmq ho capito volevi dire.

    Ipocrita.

    Eh sì, se proprio tu, dopo questa figuraccia e tutti questi errori, mi dici che il sw libero/open source è più sicuro e salverà il mondo, ci credo! uuhhhh!! sì sì! eccome se ci credo!!! credici!!

    Inoltre, con tutto rispetto, lascerei perdere quel dizionario on-line, non tanto per il contenuto, per carità, ma non lo vedo di buon'occhio perché dà asilo politico a parole sbagliate come "obbiettivo" in luogo di "obiettivo", "cosidetto" in luogo di "cosiddetto", e chissà quante altre, ah beh, però è GRATIS! Anzi no, gratis non si deve dire, è LIBERO, è liberamente consultabile in rete ( cioè GRATIS, non lo dovevo dire? ), vuoi mettere???

    Saluti professore!!!
    non+autenticato

  • > "qualosa" ? Sei toscano?
    >
    > Guarda che si capisce benissimo cosa voleva dire,
    > bastava dire "verso un particolare sistema
    > operativo non è un dogma".
    >
    > Ma quando non hai argomentazioni ti arrampichi
    > sugli errorini grammaticali altrui?

    Sono quello che ha segnalato il link alla parola dogma e non ho scritto niente di quanto inviato prima del messaggio a cui rispondi. Conosco la netiquette e non credo di averne infranto le regole (cosa che invece, a mio avviso, hai fatto tu): non si risponde evidenziando errori che sono esclusivamente di battitura (come nel mio caso con "qualosa"), ma io ho risposto segnalando un errore ripetuto due volte (una parola creduta invariabile, ma che invece ha un suo plurale in -i) e che non è quindi dovuto alla mancata o eccessiva, o involontaria pressione di uno o più tasti.

    >
    > Sei anche un'ipocrita perché prima di cercare gli
    > errorini altrui sarebbe meglio se controllassi i
    > tuoi prima di postare.
    >
    Al limite sono distratto (avevo riletto Con la lingua fuori)!

    > La frase "Non esistono dogma, ma dogmi" non ha
    > senso.
    E' la semplice evidenziazione dell'errore commesso, come se scrivessi a chi ha scritto "Non esistono uovo nel campo di golf" la correzione: "non esistono uovo, ma uova"

    >
    > Inoltre hai sbagliato a scrivere, hai scritto
    > "qualosa" in luogo di "qualcosa", sei mica
    > toscano?
    >
    > "Non esistono" si aspetta una parola al plurale
    > non al singolare, dovevi usare un'altra formula
    > per dire quello che cmq ho capito volevi dire.

    Dato che hai capito, capirai che "non esistono dogma" non è un mio errore, ma l'errore che ho segnalato e invitato a non commettere.
    >
    > Ipocrita.

    Dente avvelenato? Ti brucia? Sei tu quello che non conosceva il plurale di dogma? Non c'è niente di male ad essere degli ignoranti, ma è sbagliato non volerlo riconoscere e non voler cercare di migliorare le nostre conoscenze quando ne abbiamo l'occasione (sono il primo a ignorare tante cose, ma ho l'umiltà di non arrabbiarmi e di essere contento di scoprirlo e di poter rimediare).
    >
    > Eh sì, se proprio tu, dopo questa figuraccia e
    > tutti questi errori, mi dici che il sw
    > libero/open source è più sicuro e salverà il
    > mondo, ci credo! uuhhhh!! sì sì! eccome se ci
    > credo!!! credici!!
    >
    Questa parte non mi riguarda non essendo io l'autore di quanto hai citato.

    > Inoltre, con tutto rispetto, lascerei perdere
    > quel dizionario on-line, non tanto per il
    > contenuto, per carità, ma non lo vedo di
    > buon'occhio perché dà asilo politico a parole
    > sbagliate come "obbiettivo" in luogo di
    > "obiettivo", "cosidetto" in luogo di
    > "cosiddetto", e chissà quante altre, ah beh, però
    > è GRATIS! Anzi no, gratis non si deve dire, è
    > LIBERO, è liberamente consultabile in rete ( cioè
    > GRATIS, non lo dovevo dire? ), vuoi mettere???
    >
    > Saluti professore!!!

    Non ho la *presunzione* di valutare la bontà di un dizionario raffrontandola al mio bagaglio di conoscenze: come ti ho scritto non sono infallibile, ma, sebbene cio' possa lasciarti basito e sgomento, posso confessarti che io scrivo obbiettivo (per indicare un bersaglio, una meta) e obiettivo (per indicare un criterio o un modo di essere) e che se dovessi leggere su un dizionario che una delle due forme me la sono inventata io, non avrei problemi a credere al dizionario (magari consultandone più di uno per escludere errori di stampa) piuttosto che a ritenere di essere io l'unico depositario della *conoscenza*.

    Un saluto (e le mie scuse) a quanti hanno letto fino alla fine, ma non sempre riesco ad evitare di sfamare i troll.
    non+autenticato