Tre cerottoni per i player Real

Le vulnerabilitÓ minacciano la sicurezza di chi usa i player software dell'azienda. Real invita ad applicare subito le patch. Microsoft avvisa invece gli utenti dei buchi di Flash Player 7

Roma - Negli scorsi giorni RealNetworks ha corretto, in molte versioni dei suoi famosi player, tre vulnerabilitÓ di sicurezza potenzialmente molto pericolose. La societÓ ha spiegato che i bug possono essere sfruttati da un aggressore per eseguire del codice a propria scelta con gli stessi privilegi dell'utente locale.

Come spiegato da FrSIRT in questo advisory, il primo problema "Ŕ dovuto ad un errore di overflow nell'elaborazione di un pacchetto dati malformato contenuto in un file Real Media". Per compromettere un sistema remoto, ad un aggressore basterebbe indurre un utente a visitare una pagina web contenente un file .rm dannoso.

La seconda vulnerabilitÓ Ŕ causata da un heap overflow nel file , una libreria di compressione di terze parti che non gestisce correttamente file di skin (.rjs) malformati. Anche in questo caso un malintenzionato potrebbe creare un file rjf maligno, inglobarlo in una pagina Web e convincere un utente a visitare tale pagina.
Il terzo bug, uno stack overflow, Ŕ ancora relativo alla gestione dei file di skin e pu˛ essere sfruttato da un cracker in modo simile al problema precedente.

Tra i player vulnerabili ci sono RealPlayer 10 per Windows, Linux e Mac, Helix Player, RealOne Player v1 e v2, e le versioni di RealPlayer Enterprise dalla 1.1 alla 1.7. Per l'elenco completo, e i link al download manuale delle patch, si veda l'advisory di RealNetworks. Molte versioni dei player Real possono essere aggiornate per mezzo della funzione di updating automatica.

Pochi giorni fa sono finite sotto i riflettori le vulnerabilitÓ di altri due importanti player, quello Flash di Macromedia e QuickTime di Apple. Alle falle del Flash Player ha di recente dedicato un security advisory anche Microsoft, il primo in cui il big di Redmond mette in guardia i propri utenti dai problemi di un software di terze parti.
TAG: sicurezza
12 Commenti alla Notizia Tre cerottoni per i player Real
Ordina
  • [ IMHO ovviamente! ]
    [ troll, go away! ]

    Personalemte non uso realplayer, lo trovo un pessimo programma.
    Iterfaccia pesante e invadente, formato bizzarro e poco diffuso...e non comprime neanche bene...

    no, non mi piace.
    Qualcuno che lo usa può smentirmi(riguardo al formato)?
    Sono stato sfigato nel trovare solo filmati compressi pessimamente o fa schifo di suo?
    non+autenticato
  • Io l'ho abbandonato da anni! A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    > [ IMHO ovviamente! ]
    > [ troll, go away! ]
    >
    > Personalemte non uso realplayer, lo trovo un
    > pessimo programma.
    > Iterfaccia pesante e invadente, formato bizzarro
    > e poco diffuso...e non comprime neanche bene...

    lo hanno installato un 40% dei navigatori, se poi lo usano.. boh

    > no, non mi piace.

    manco a me, preferisco QT

    > Qualcuno che lo usa può smentirmi(riguardo al
    > formato)?

    i codec usati oramai sono vecchi se li confronti alla concorrenza

    > Sono stato sfigato nel trovare solo filmati
    > compressi pessimamente o fa schifo di suo?

    un mix delle due
    non+autenticato

  • - Scritto da: Anonimo
    > [ IMHO ovviamente! ]
    > [ troll, go away! ]
    > Qualcuno che lo usa può smentirmi(riguardo al
    > formato)?
    > Sono stato sfigato nel trovare solo filmati
    > compressi pessimamente o fa schifo di suo?

    Be' ma se io voglio vedere un video in real non è che ho molta scelta, devo usare i codec di real.

    E' vero che alcuni programmi usano i loro codec ma poi hanno la loro interfaccia, però solo con real noto che ho la possibilità di andare avanti e indietro in un filmato in streaming, mentre con gli altri client se uno ci prova in genere deve rivedersi il video dall'inizio (se dura pochi minuti vabbe', ma se è lungo sono due maroni così)
    non+autenticato
  • > real noto che ho la possibilità di andare avanti
    > e indietro in un filmato in streaming, mentre con
    > gli altri client se uno ci prova in genere deve
    > rivedersi il video dall'inizio (se dura pochi
    > minuti vabbe', ma se è lungo sono due maroni
    > così)


    no anche con su Quicktime è possibile andare avanti e indietro, praticamente solo MicrozzozMerdPlayer non ci riesce...
    non+autenticato
  • Un po' di tempo fa c'era un bug di real p. solo per linux,
    Flame a non finire, secondo me questa notizia stà a dimostrare il fatto che se un programma è scritto male non c'è os che tenga un attacco buffer overflow trasforma un programma in un vero e proprio trojan con i privilegi di un utente locale che nel 90% dei sistemi win è l'amministratore=accesso completo al sistema
    lin nel 90% è un utente con accesso limitato=molti disturbi ma nessun danno al sistema
    non+autenticato

  • - Scritto da: Anonimo
    > Un po' di tempo fa c'era un bug di real p. solo
    > per linux,
    > Flame a non finire, secondo me questa notizia stà
    > a dimostrare il fatto che se un programma è
    > scritto male non c'è os che tenga un attacco
    > buffer overflow trasforma un programma in un vero
    > e proprio trojan con i privilegi di un utente
    > locale che nel 90% dei sistemi win è
    > l'amministratore=accesso completo al sistema
    > lin nel 90% è un utente con accesso
    > limitato=molti disturbi ma nessun danno al
    > sistema

    Massì tanto chissà quanti bachi ci sono che non hanno ancora individuato per windows, linux, mac os, real, ms player, apache ecc... che i maligni invece conoscono e sfruttano a loro piacimento per lunghi periodi.
    non+autenticato
  • Perché su Windows tutti i programmi vengono eseguiti con da un utente con privilegi di amministratore. Purtroppo molti programmi sono scritti male e se non hai tali privilegi non funzionanoTriste
    Quando questa "politica" cambierß forse le cose miglioreranno un po'

  • - Scritto da: Luca69
    > Quando questa "politica" cambierß forse le cose
    > miglioreranno un po'

    Windows Vista che tanto odiate è fatto apposta per questo.
    non+autenticato
  • - Scritto da: Anonimo
    > - Scritto da: Luca69
    > > Quando questa "politica" cambierß forse
    > > le cose miglioreranno un po'

    > Windows Vista che tanto odiate è fatto apposta
    > per questo.

    E chi lo odia ??? Qui stiamo ancora aspettando di vedero, speriamo che non sia sicuro come doveva esserlo il 2000 A bocca aperta

    "Solo staccando la spina si puo' spegnere un win 2000 server !!!".... Tempo 2 settimane e c'era il WinNuke per tutte le piattaforme a parte win :-
    D
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Luca69
    > > Quando questa "politica" cambierß forse le cose
    > > miglioreranno un po'
    >
    > Windows Vista che tanto odiate è fatto apposta
    > per questo.

    Si, cura anche il cancro dicevano.
  • Ottimo intervento.
    Aggiungo soltanto che episodi come questo dimostrano che non è sufficiente usare antivirus, firewall, antispyware e quant'altro, ma anche stare attenti a quello che si scarica, nonchè verificare periodicamente se esistono aggiornamenti per i programmi installati. Antivirus e sistema operativo lo fanno automaticamente, Real Player non saprei.