Se están anunciado siete vulnerabilidades de ejecución remota de código en RealNetworks RealPlayer, que permite a un atacante comprometer los sistemas afectados.
El primero de los problemas se debe al tratamiento de archivos IVR específicamente construidos, mientras que el segundo problema se presenta al procesar URIs CDDA de gran longitud. Existe otra vulnerabilidad que se encuentra en los plugins del navegador al procesar argumentos al método "RecordClip()".
Las últimas cuatro vulnerabilidades residen en desbordamientos de búfer, en "rjrmrpln.dll" al procesar elementos Name Value Property (NVP); el Control ActiveX RealPlayer al procesar argumentos de gran longitud finalizados con ".smil" mientras trata URIs "tfile", "pnmm", o "cdda"; al procesar contenido de audio QCP y por último en el componente RichFX.
Todas las fallas pueden explotarse directamente cuando un usuario visite una página web y afectan a RealPlayer SP versión 1.1.4 y anteriores, y RealPlayer Enterprise 2.1.2 y anteriores. Se recomienda actualizar a RealPlayer SP 1.1.5 o RealPlayer Enterprise 2.1.3 desde http://es.real.com/.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4378/
No hay comentarios:
Publicar un comentario