 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 06 juillet 2005
No CERTA-2005-AVI-230-002 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités des lecteurs RealPlayer
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-230-002 |
| Titre |
Multiples
vulnérabilités des lecteurs
RealPlayer |
| Date de la première
version |
24 juin 2005 |
| Date de la dernière
version |
06 juillet 2005 |
| Source(s) |
Bulletin de
sécurité RealNetworks |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Exécution de code arbitraire à distance.
-
Plate-forme Windows :
- RealPlayer 10.5 (6.0.12.1040-1069) ;
- RealPlayer 10 ;
- RealOne Player v1 ;
- RealOne Player v2 ;
- RealPlayer 8 ;
- RealPlayer Enterprise 1.x.
-
Plate-forme Linux :
- RealPlayer 10 (10.0.0 -4) ;
- Helix Player (10.0.0 -4).
-
Plate-forme Mac :
- RealPlayer 10 (10.0.0.305 -331) ;
- Mac RealOne Player;
Deux vulnérabilités de type débordement de
mémoire sont présentes dans le traitement des
fichiers RealMedia utilisant RealText et des
fichiers AVI.
En incitant un utilisateur à visualiser un de ces
fichiers malicieusement construits, il est possible d'exploiter
ces vulnérabilités afin d'exécuter du code
arbitraire sur le système utilisant le lecteur
RealPLayer.
Deux autre vulnérabilités affectent les
plate-formes Windows :
- par le biais d'un fichier MP3 malicieusement
constitué il est possible d'écraser des
fichiers arbitraires sur un système vulnérable
;
- certains paramétrages d'Internet Explorer
permettent la création et le
référencement d'un fichier HTML local.
Se référer au bulletin de sécurité
de l'éditeur pour l'obtention des correctifs (cf.
Documentation).
- 24 juin 2005
- version initiale.
- 28 juin 2005
- ajout références aux bulletins de SuSE, Red
Hat, Fedora et FreeBSD. Ajout références
CVE.
- 06 juillet 2005
- ajout des références aux bulletins de
sécurité iDEFENSE et Gentoo.
CERTA
2012-01-04
|
|
)
