Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- RealOne Player ;
- RealOne Player v2 ;
- RealPlayer 10 ;
- RealPlayer 8 ;
- RealPlayer Enterprise.
Description
Deux vulnérabilités de type débordement de mémoire sont présentes dans le logiciel Real Player :
- une mauvaise gestion des URL contenant un grand nombre de caractères "." ;
- une faille dans le composant embd3260.dll à la création d'un message d'erreur lors de la réception d'un fichier invalide.
Par le biais d'un site habilement constitué, un individu mal intentionné peut forcer l'exécution de code arbitraire à distance sur le poste d'un utilisateur employant une version vulnérable de Real Player.
Solution
Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation) pour l'obtention des correctifs.
Documentation
- Avis de sécurité 06.10.04 d'iDefense : " http://www.idefense.com/application/poi/display?id=109&type=vulnerabilities
- Avis de sécurité AD20040610 d'eEye : http://www.eeye.com/html/research/advisories/AD20040610.html
- Bulletin de sécurité de Real Networks du 10 juin 2004 : http://service.real.com/help/faq/security/040610_player/EN
