安全研究

安全漏洞
RealOne Player/Real .WAV文件处理缓冲区溢出漏洞

发布日期:2005-03-02
更新日期:2005-03-03

受影响系统:
Real Networks RealPlayer Enterprise for Windows
Real Networks RealPlayer 8 for Windows
Real Networks RealPlayer 10.5 for Windows
Real Networks RealPlayer 10 for Windows
Real Networks RealPlayer 10 for Linux
Real Networks RealOne Player V2 for Windows
Real Networks RealOne Player V1 for Windows
Real Networks Helix Player for Linux
描述:
BUGTRAQ  ID: 12697
CVE(CAN) ID: CVE-2005-0611

RealPlayer/RealOne是一款由RealNetworks公司提供的用于播放在线音频和视频的软件。

RealPlayer/RealOne的WAV文件格式解析器在处理畸形.wav文件时存在问题,远程攻击者可以利用这个漏洞构建恶意文件,诱使用户处理,以用户进程在系统上执行任意指令。

NGSSoftware报告RealPlayer/RealOne在处理.WAV文件时存在漏洞,可导致可能以用户进程在系统上执行任意指令。细节将在6月1日公布。

<*来源:iDEFENSE Security Advisory (labs@idefense.com
        Mark Litchfield (mark@ngssoftware.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110979465912834&w=2
        http://service.real.com/help/faq/security/050224_player/EN/
*>

建议:
厂商补丁:

Real Networks
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Windows 播放器:

RealOne Player v2 (6.0.11.853-872), RealPlayer 10和RealPlayer 10.5可点击以下地址下载:

http://service.real.com/help/faq/security/050224_player/EN/win32patch.rnx

或采用如下步骤下载更新以解决此问题:

在工具菜单中选择检查更新。
选择选择"Security Update - March 2005"组件
单击安装以下载并安装更新。

RealOne Player(仅英文版)和RealOne Player V2 (6.0.11.818 - 840)需要完全下载来修复此问题,点击以下地址 :

http://service.real.com/help/faq/security/050224_player/EN/player.rnx

或采用如下步骤更新:

在工具菜单中选择检查更新。
选择“内置 Harmony 技术的 RealPlayer 10.5”组件旁的复选框。
单击安装以下载并安装更新。
然后,点击安全进行下载和安装。

RealPlayer 8 (version 6.0.9.584)点击以下地址:

http://service.real.com/help/faq/security/050224_player/EN/player.rnx

或者使用如下方法进行升级:

点击帮助菜单。
选择更新。
选择“内置 Harmony技术的 RealPlayer 10.5”组件旁的复选框。
点击安装进行下载和更新。

RealPlayer Enterprise解决方法:

请从http://service.real.com/help/faq/security/security022405.html 下载补丁程序。

Linux 播放器:

请从http://www.real.com/linux 获得新版RealPlayer 10的Linux 版本。

请从http://player.helixcommunity.org/downloads/ 获得新版Helix Player的Linux 版本

浏览次数:4504
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障