Nieuws

Security waarschuwing voor RealPlayer en RealOne

maandag 31 maart 2003, 12:53 door Redactie, 3 reacties

Er is een security waarschuwing uitgegaan voor RealPlayer en RealOne, welke misbruikt kan worden om het systeem van een gebruiker te compromiteren. Het lek ontstaat door een fout in het verwerken van PNG bestanden. Hierdoor wordt het gealloceerde buffer overschreven en raakt het geheugen corrupt. Een aanvaller kan dit lek misbruiken door een PNG bestand te maken die een heap overflow kan veroorzaken op het systeem van de gebruiker. De volgende versies zijn kwetsbaar:

*RealOne Player v2 (Win32) [versie: 6.0.11.818, 6.0.11.818, 6.0.11.830, 6.0.11.841, 6.0.11.853]

* RealOne Player v1 (Win32) [versie: 6.0.10.505]

* RealOne Player for OS X [versie: 9.0.0.297, 9.0.0.288]

* RealPlayer 8/RealPlayer Plus 8 (Win32 & Mac OS 9) [versie: 6.0.9.584 (Win32 & Mac OS 9)]

* RealOne Enterprise Desktop (Win32) [versie: 6.0.11.774]

Er wordt aangeraden om deze security update te downloaden. De volledige Advisory.

Programmeurs moeten verantwoord coden

Massachusetts en Texas willen verbod op firewall en encryptie

Reacties (3)

31-03-2003, 14:25 door Anoniem

Zou dit te maken hebben met het compressie-bugje waar indertijd enkele open-source browsers te maken hadden? (Bij een bepaalde PNG werd een stuk geheugen 2 keer ge-free()'d ofzo)... Zou wel heel erg lame zijn....

Het lijkt er wel heeeel sterk op.. :-/

31-03-2003, 18:45 door dim

Originally posted by Unregistered
Zou dit te maken hebben met het compressie-bugje waar indertijd enkele open-source browsers te maken hadden?

Het lijkt inderdaad het bekende zlib probleem te zijn, waar overigens niet alleen open source browsers last van hadden, maar ook allerlei andere software. In het bericht van Real staat namelijk:

This vulnerability was due to the usage of an older, vulnerable version of a data-compression library within the RealPix component of the Player. The vulnerability was fixed by using an updated (non-vulnerable) version of this data-compression library in RealPix.

Ik gok dat er nog wel meer van dit soort bugs te vinden zijn, als je goed zoekt... :)

01-04-2003, 21:59 door Anoniem

een kleine aantekening:
je moet wel de genoemde software als preferent hebben ingesteld op het .png formaat.

oftewel als je het eerste de beste grafische pakket met next, next finish installeert (de meeste gebruikers) ben je er niet gevoelig voor.

Dus ACDsee of Irfanview installeren NA realplayer zal wellicht de vulnerability opheffen. Ligt ook aan de vasthoudendheid van de bestandsextentie van Real natuurlijk.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer