Ошибка в RealPlayer ставит ПК под удар
Компания RealNetworks признала, что три дефекта в разных версиях медиаплеера позволяют злоумышленникам создавать искаженные музыкальные или видеофайлы, которые при воспроизведении перехватывают управление ПК.
Ошибки, обнаруженные британской компанией Next-Generation Security Software, могут проявляться в версиях RealNetworks RealOne Player, RealOne Player version 2, RealPlayer 8, RealPlayer 10 Beta, а также в продуктах RealOne Enterprise. Чтобы воспользоваться ими, злоумышленник должен вставить в медиафайл организованные определенным образом данные. При воспроизведении такого файла в уязвимой версии RealPlayer этот код будет исполнен в ПК жертвы.
«Направляя браузер на веб-сайт, содержащий подобный файл, пользователь рискует заразить свою машину», — говорится в рекомендациях, опубликованных NGSSoftware.
Уязвимости ставят под удар большую часть из 350 млн зарегистрированных пользователей медиаплеера, однако RealNetworks не сообщает, сколько людей используют уязвимые версии. «Мы не получили ни одного сообщения о каких-либо проблемах, — сказала представитель мультимедийной компании из Сиэтла Эрика Шаффер. — Однако мы очень серьезно относимся к безопасности и уже выпустили поправки».
Ошибку можно использовать при помощи медиафайла одного из следующих типов: RealAudio (RAM), RealAudio Plugin (RPM), RealPix (RP), RealText (RT) или SMIL (synchronized multimedia integration language).
Уязвимости, которые можно использовать посредством воспроизведения медиафайла, до сих пор оставались редкостью. В мае прошлого года ошибка в способе, которым Microsoft Windows Media Player управляет «скинами» (схемами внешнего оформления пользовательского интерфейса), вынудила софтверного гиганта выпустить поправку для этой программы.
RealNetworks разместила на своем веб-сайте инструкции по обновлению ПО RealPlayer.
Роберт Лемос (Robert Lemos), CNET News.com
6 февраля, 2004, 12:49
*