Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • HelixPlayer versions 1.0.5.757 et antérieures ;
  • RealPlayer versions 10.0.5.756 (gold) et antérieures.

Résumé

Une vulnérabilité dans HelixPlayer et RealPlayer permet à un utilisateur distant d'exécuter du code arbitraire.

Description

Une vulnérabilité dans la fonction d'affichage du message invalid-handle error permet à un utilisateur distant mal intentionné d'exécuter du code arbitraire par le biais d'un site web mettant à disposition un fichier avec l'extension .rp ou .rt malicieusement constitué. Remarque : L'exploitation de cette vulnérabilité n'est possible que sur les systèmes GNU/Linux.

Contournement provisoire

Ne pas utiliser RealPlayer ou HelixPlayer pour visionner des fichiers d'extensions .rp ou .rt.

Solution

Se référer aux bulletins de sécurité des éditeurs pour appliquer les correctifs appropriés (cf. Documentation).

Documentation