RealPlayer: sześć nowych dziur

W popularnym odtwarzaczu multimedialnym RealPlayer znów wykryto kilka poważnych błędów, umożliwiającym m.in. przejęcie kontroli nad komputerem. Problem dotyczy wersji 10.5 oraz 11 beta - producent programu udostępnił już uaktualnienia rozwiązujące problem i zaleca użytkownikom jak najszybsze uch zainstalowanie.

Warto wspomnieć, że to już druga "porcja" nieznanych wcześniej błędów, które w ciągu minionych 10 dni wykryto w RealPlayerze (wcześniej znaleziono m.in. błąd w jednej z kontrolek ActiveX, wykorzystywanej w systemie pomocy odtwarzacza). Firma RealNetworks tydzień temu udostępniła uaktualnione wersje odtwarzacza - wydanie 10.5 oraz 11 beta.

Teraz znaleziono kolejne sześć błędów w zabezpieczeniach odtwarzacza - wszystkie są związane z parsowaniem plików multimedialnych. Aby wykorzystać je do skutecznego zaatakowania komputera, "napastnik" musi skłonić "ofiarę" do uruchomienia w systemie odpowiednio zmodyfikowanego pliku - np..mov, .mp3, .rm, SMIL, .swf, .ram lub .pl. Plik taki może być osadzony na stronie WWW lub wysłany e-mailem.

Przedstawiciele RealNetworks w wydanym w piątek oświadczeniu uspokajają, że osoby, które zainstalowały udostępnione przed tygodniem uaktualnienia dla RealPlayera, nie mają się czego obawiać. Dotyczy to jednak tylko odtwarzacza w wersji dla Windows (dziury sprzed tygodnia dotyczyły jedynie tej platformy) - osoby, które korzystają z RealPlayera dla Mac OS X lub Linuksa, powinny pobrać i zainstalować udostępnione właśnie poprawki.

Duńska firma Secunia, specjalizująca się w analizowaniu błędów w oprogramowaniu, uznała nowe błędy w RealPlayerze za "wysoce krytyczne" - jej pracownicy zalecają użytkownikom odtwarzacza jak najszybsze zainstalowanie poprawek. RealNetworks również radzi uaktualnienie - aczkolwiek firma uspokaja, że sytuacja nie jest aż tak poważna i że do tej pory nie odnotowano żadnych przypadków ataków z wykorzystaniem owych luk.

Więcej informacji o problemie oraz uaktualnienia znaleźć można na stronie firmy RealNetworks.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200