首页 -> 安全研究

安全研究

安全漏洞
RealNetworks RealPlayer和Helix Player格式串处理漏洞

发布日期:2005-09-27
更新日期:2005-10-11

受影响系统:
Real Networks RealPlayer 10 Japanese
Real Networks RealPlayer 10 German
Real Networks RealPlayer 10 for Linux
Real Networks RealPlayer 10 English
Real Networks Helix Player for Linux 1.0.4
Real Networks Helix Player for Linux 1.0.3
Real Networks Helix Player for Linux 1.0.2
Real Networks Helix Player for Linux 1.0.1
Real Networks Helix Player for Linux 1.0
Real Networks RealPlayer For Unix 10.0.4
Real Networks RealPlayer For Unix 10.0.3
描述:
BUGTRAQ  ID: 14945
CVE(CAN) ID: CVE-2005-2710

RealPlayer和Helix Player都是非常流行的媒体播放器,支持多种媒体格式。

RealPlayer和Helix Player中存在格式串漏洞,远程攻击者可能利用此漏洞控制机器。

起因是没有正确的验证用户输入。远程攻击者可以利用这个漏洞直接向格式化打印函数提供格式说明符,导致执行任意代码。

<*来源:c0ntex (c0ntex@hushmail.com
  
  链接:http://service.real.com/help/faq/security/050930_player/EN/
        http://lwn.net/Alerts/153346/?format=printable
        http://lwn.net/Alerts/153347/?format=printable
        http://www.idefense.com/application/poi/display?id=311&type=vulnerabilities
        http://security.gentoo.org/glsa/glsa-200510-07.xml
*>

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 在邮件网关过滤.rp附件.

厂商补丁:

Real Networks
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Real Networks Upgrade RealPlayer 10 for Linux
http://www.real.com/realcom/R?href=http%3A%2F%2Fforms.real.com%2Freal%2Fplayer%2Fdownload.html%3Ff%3Dunix%2FRealPlayer10GOLD.bin%26product%3Dplayerplus%26system%3Dlinux%26pcode%3Drn%26src%3Dlinux%26opage%3Dlinux&pageid=linuxPage&pageregion=offer_button

Real Networks Upgrade Helix Player 1.0.6 Gold
https://player.helixcommunity.org/2005/downloads/

Debian Upgrade helix-player_1.0.4-1sarge1_i386.deb
Debian GNU/Linux 3.1 alias sarge
http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_i386.deb

Debian Upgrade helix-player_1.0.4-1sarge1_powerpc.deb
Debian GNU/Linux 3.1 alias sarge
http://security.debian.org/pool/updates/main/h/helix-player/helix-player_1.0.4-1sarge1_powerpc.deb

Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200510-07)以及相应补丁:
GLSA-200510-07:RealPlayer, Helix Player: Format string vulnerability
链接:http://security.gentoo.org/glsa/glsa-200510-07.xml

Gentoo用户应通过以下命令升级RealPlayer:

emerge --sync

emerge --ask --oneshot --verbose ">=media-video/realplayer-10.0.6"

Gentoo用户可通过以下命令升级Helix Player:

emerge --sync

emerge --ask --oneshot --verbose ">=media-video/helixplayer-1.0.6"

浏览次数:4490
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客