CH azonosító
CH-4345Angol cím
RealPlayer Predictable Temporary Filename Code Execution VulnerabilityFelfedezés dátuma
2011.02.08.Súlyosság
MagasÉrintett rendszerek
RealNetworksRealPlayer
RealPlayer Enterprise
Érintett verziók
RealPlayer 14.x
RealPlayer Enterprise 2.x
Összefoglaló
A RealPlayer olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a felhasználó sérülékeny rendszerét.
Leírás
A sérülékenységet az ideiglenes fájlok okozzák, melyek előre meghatározható nevű média fájlokra tartalmaznak hivatkozásokat. Ez kihasználható az “OpenURLInPlayerBrowser()” eljárás és egy böngésző beépülő modul kombinációjával a fájl futtatására.
A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.
A sérülékenységet a következő termékekben jelentették:
- RealPlayer 14.0.1 és korábbi verziók
- RealPlayer Enterprise 2.1.4 és korábbi verziók
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Misconfiguration (Konfiguráció)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: service.real.com
Gyártói referencia: docs.real.com
Egyéb referencia: www.zerodayinitiative.com
SECUNIA 43268
CVE-2011-0694 - NVD CVE-2011-0694