Risque
Exécution de code arbitraire à distance.
Systèmes affectés
- RealOne Player ;
- RealOne Player v2 ;
- RealPlayer 10 Beta (anglais uniquement) ;
- RealPlayer 8 (toutes les versions localisées) ;
- RealOne Enterprise Desktop ou RealPlayer Enterprise.
Résumé
Plusieurs problèmes de sécurité dans RealPlayer permettent à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
RealPlayer est un lecteur multimédia développé par RealNetworks (real.com). Plusieurs problèmes ont été découverts permettant à un utilisateur mal intentionné de :- exécuter des scripts JavaScript distants depuis le domaine de l'URL ouverte par un fichier SMIL ou un autre fichier ;
- créer des fichiers medias malicieusement construit afin de télécharger et d'exécuter du code arbitraire.
Solution
Mettre à jour selon les recommandations de l'éditeur (cf. section Documentation). Site internet de téléchargement de RealPlayer :
http://forms.real.com/real/player/blackjack.html
Documentation
- Site internet de RealNetworks :
http://www.real.com
- Avis de sécurité de RealNetwork du 4 février 2004 :
http://service.real.com/help/faq/security/040123_player/FR/
- Avis de sécurité NGSSoftware #NISR04022004a :
http://www.ngssoftware.com/advisories/realone.txt
- Avis de sécurité du CERT/CC VU#473814 :
http://www.kb.cert.org/vuls/id/473814
- Avis de sécurité du CERT/CC VU#473902 :
http://www.kb.cert.org/vuls/id/473902
- Avis de sécurité du CERT/CC VU#514734 :
http://www.kb.cert.org/vuls/id/514734