Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- RealOne Enterprise Desktop ou RealPlayer Enterprise.
- RealOne Player ;
- RealOne Player v2 ;
- RealPlayer 10 Beta (anglais uniquement) ;
- RealPlayer 8 (toutes les versions localisées) ;
Résumé
Plusieurs problèmes de sécurité dans RealPlayer permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
RealPlayer est un lecteur multimédia développé par RealNetworks (real.com). Plusieurs problèmes ont été découverts permettant à un utilisateur mal intentionné de :
- exécuter des scripts JavaScript distants depuis le domaine de l'URL ouverte par un fichier SMIL ou un autre fichier ;
- créer des fichiers medias malicieusement construit afin de télécharger et d'exécuter du code arbitraire.
Solution
Mettre à jour selon les recommandations de l'éditeur (cf. section Documentation). Site internet de téléchargement de RealPlayer :
http://forms.real.com/real/player/blackjack.html
Documentation
- Avis de sécurité NGSSoftware #NISR04022004a http://www.ngssoftware.com/advisories/realone.txt
- Avis de sécurité de RealNetwork du 4 février 2004 : http://service.real.com/help/faq/security/040123_player/FR/
- Avis de sécurité du CERT/CC VU#473814 : http://www.kb.cert.org/vuls/id/473814
- Avis de sécurité du CERT/CC VU#473902 : http://www.kb.cert.org/vuls/id/473902
- Avis de sécurité du CERT/CC VU#514734 : http://www.kb.cert.org/vuls/id/514734
- Site internet de RealNetworks : http://www.real.com
