|
Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL)
|
|
VSantivirus No. 1574 Año 8, jueves 28 de octubre de 2004
Ejecución de código en RealPlayer/RealOne (DUNZIP32.DLL)
http://www.vsantivirus.com/vul-real-dunzip-271004.htm
Por Angela Ruiz
angela@videosoft.net.uy
Según informa Secunia, eEye Digital Security ha reportado una vulnerabilidad en RealPlayer y RealOne, que puede ser explotada por usuarios maliciosos para comprometer el sistema afectado.
La vulnerabilidad es causada por un error de límites (desbordamiento de búfer), en la librería de compresión DUNZIP32.DLL, cuando se procesan los archivos con skins para la interfase del reproductor.
DUNZIP32.DLL es utilizada por RealPlayer y otra variedad de programas, incluido el propio Windows, que corrigió un fallo similar en uno de sus boletines de octubre de 2004 (ver "MS04-034 Vulnerabilidad en carpetas comprimidas (873376)",
http://www.vsantivirus.com/vulms04-034.htm).
En el caso de los productos de RealNetworks, un atacante podría construir un archivo con skins (comprimido), de tal forma que pudiera ejecutar código malicioso en el equipo del usuario afectado, cuando éste intentara abrirlo con un RealPlayer o un RealOne vulnerable.
La vulnerabilidad afecta a las siguientes versiones:
- RealPlayer 10.5 anterior al build 6.0.12.1056
- RealPlayer 10
- RealOne Player v2
- RealOne Player v1
Las versiones posteriores ya no son afectadas (RealNetworks publicó estas versiones recientemente).
Para actualizarse, los usuarios deben seleccionar la opción "Buscar actualizaciones" del menú Herramientas.
Más información (en español):
www.service.real.com/help/faq/security/041026_player/ES-XM/
Créditos: eEye Digital Security
Referencias:
RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables.
www.service.real.com/help/faq/security/041026_player/ES-XM/
RealPlayer/RealOne "DUNZIP32.dll" Buffer Overflow Vulnerability
http://secunia.com/advisories/12869/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|