Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ejecución de código en RealPlayer y HelixPlayer
 
VSantivirus No 2481 Año 11, jueves 28 de junio de 2007

Ejecución de código en RealPlayer y HelixPlayer
http://www.vsantivirus.com/vul-realplayer-cve-2007-3410.htm

Por Angela Ruiz
angela@videosoft.net.uy

RealPlayer es una conocida aplicación desarrollada por RealNetworks, que permite la reproducción de múltiples formatos multimedia. HelixPlayer es la versión de código abierto de RealPlayer.

Ambos programas, son afectados por una vulnerabilidad provocada por un desbordamiento de búfer, que puede permitir a un atacante ejecutar código en forma remota en el contexto del usuario actual, comprometiendo la seguridad de la máquina afectada.

El problema está relacionado con el manejo del formato de tiempo (HH:mm:ss.f) que hace la función "wallclock" (reloj de pared), dentro del código soportado en SMIL2.

SMIL (Synchronized Multimedia Integration Language), es un lenguaje de integración y sincronización de archivos multimedia utilizado por RealPlayer y HelixPlayer.

Una explotación exitosa requiere que un atacante persuada a un usuario a visitar una página web maliciosa.

RealNetworks ha realizado actualizaciones de seguridad para su software, pero las mismas no están claramente identificadas en su sitio de descarga.

Se sugiere instalar la última versión disponible.

Relacionados:

http://www.real.com/realplayer.html
http://helixcommunity.org/

Referencias:

RealNetworks RealPlayer/HelixPlayer SMIL wallclock Stack Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=547

Referencias CVE:

CVE-2007-3410
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3410

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS