Real Networks нашла 4 бреши в своих плеерах

Компания Real Networks ликвидировала 4 серьезных уязвимости в своих медиаплеерах Real, Rhapsody и Helix, сообщает сайт vnunet.com. Две из четырех уязвимостей были связаны с переполнением буфера. Чтобы атаковать пользователей медиаплееров, злоумышленникам было достаточно всего лишь проиграть медиафайл.

Одна из уязвимостей использовала формат avi для переполнения динамической памяти атакуемой машины и позволяла хакерам устанавливать полный контроль над системой. Использовать уязвимость можно было с помощью веб-ресурса, на котором размещался видеофайл, запускавшийся автоматически. Уязвимость существовала в большинстве приложений RealPlayer для Windows, а также в плеерах Rhapsody. Аналогичным методом можно было атаковать системы под управлением Mac OS X и Linux.

Еще одна уязвимость в Real позволяла злоумышленникам создавать mp3-файлы, которые перезаписывали себя на файлы, хранящиеся в системе пользователя или запускали панели ActiveX. ActiveX позволяет скачивать и устанавливать приложения на компьютер без участия пользователя. Service Pack 2 для Windows XP предупреждает пользователей о запуске ActiveX.

Последняя из заявленных уязвимостей использовала дефолтные установки в ранних версиях Internet Explorer и на их базе создавала специальные файлы, которые автоматически запускались через RealMedia плеер. Ни одна из-за заявленных уязвимостей не касается Real плееров для телефонов Nokia и компьютеров Palm.