S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 octobre 2007
N° CERTA-2007-AVI-457
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans RealPlayer

Gestion du document

Référence CERTA-2007-AVI-457
Titre Multiples vulnérabilités dans RealPlayer
Date de la première version 26 octobre 2007
Date de la dernière version 26 octobre 2007
Source(s) Bulletin de sécurité de RealNetworks du 25 octobre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Helix Player (10.0.5 - 10.0.8) sur Linux.
  • RealOne Player sur MacOs ;
  • RealOne Player v1 sur Microsoft Windows ;
  • RealOne Player v2 sur Microsoft Windows ;
  • RealPlayer 10 (10.0.5 - 10.0.8) sur Linux ;
  • RealPlayer 10 sur Microsoft Windows ;
  • Realplayer 10.1 (10.0.0.305 - 10.0.0.331, 10.0.0.352, 10.0.0.396 - 10.0.0.412, 10.0.0.481) sur MacOS ;
  • RealPlayer 10.5 (6.0.12.1040 - 6.0.12.1578, 6.0.12.1698, 6.0.12.1741) sur Microsoft Windows ;
  • RealPlayer 8 sur Microsoft Windows ;
  • RealPlayer Enterprise sur Microsoft Windows ;

Résumé

De multiples vulnérabilités permettant à une personne malintentionnée d'exécuter du code arbitraire à distance ont été identifiées dans RealPlayer.

Description

Cinq vulnérabilités ont été identifiées dans le lecteur multimédia RealPlayer. Elles sont dues à des débordements de mémoire qu'une personne malintentionnée distante peut exploiter en incitant l'utilisateur à ouvrir un fichier au format mp3, rm, SMIL, swf, ram ou pls spécialement construit.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 26 octobre 2007
    version initiale.