Roma – Alcune delle versioni dei player multimediali di RealNetworks ed Apple contengono due gravi vulnerabilità che potrebbero minacciare la sicurezza di milioni di utenti.
I due problemi, fra loro non correlati, riguardano il modo in cui i player leggono certi tipi di file, e possono consentire ad un aggressore di penetrare sul computer dell’utente.
In un proprio advisory, RealNetworks ha spiegato che la falla interessa RealOne Player e RealOne Player v2 for Windows, RealPlayer 8 for Windows, RealPlayer 8 for Mac OS 9, RealOne Player for Mac OS X, RealOne Enterprise Desktop Manager e RealOne Enterprise Desktop. Un aggressore può sfruttare la debolezza creando un file PNG (Portable Network Graphics) che, una volta aperto, può consentirgli di eseguire codice a sua scelta.
RealNetworks ci tiene a sottolineare che la falla è contenuta in una vecchia versione della libreria di compressione RealPix integrata nei player su elencati. L’azienda sostiene che Helix DNA Client non è affetto dal bug. Real raccomanda agli utenti di scaricare gli aggiornamenti dal proprio sito o tramite le funzioni di aggiornamento automatico incluse in alcune versioni dei propri player.
La società di sicurezza iDefense ha invece avvertito gli utenti di un buco di sicurezza contenuto nel componente che in QuickTime gestisce gli URL: una stringa troppo lunga può causare un buffer overflow. In questo caso un aggressore può sfruttare il problema spingendo un utente ad aprire un URL malevolo che, una volta aperto, esegua del codice a sua scelta con gli stessi diritti dell’utente.
Le versioni vulnerabili di QuickTime sono la 5.x e la 6 per Windows. Apple ha rilasciato una versione 6.1 che corregge il problema.