Avis du CERTA : Vulnérabilité dans RealPlayer
octobre 2007 par CERT-FR
1 Risque
Exécution de code arbitraire à distance.
2 Systèmes affectés
* RealPlayer version 10.5 ;
* RealPlayer version 11 beta ;
* RealOne Player ;
* RealOne Player v2 ;
* RealPlayer version 10.
Les versions Macintosh et Linux de RealPlayer, ainsi que les versions 8 (et
antérieures) de RealPlayer pour Windows ne sont pas affectées.
3 Résumé
Une vulnérabilité dans RealPlayer permet l’exécution de code arbitraire à
distance.
4 Description
Une vulnérabilité a été découverte dans le composant MPAMedia.dll de
RealPlayer. L’exploitation de cette vulnérabilité (par exemple par le biais
d’une page HTML) permet l’exécution de code arbitraire à distance.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité RealNetworks du 19 octobre 2007 :
http://service.real.com/realplayer/security/191007_player/en/
* Bulletin de sécurité US-CERT VU#871673 du 21 octobre 2007 :
http://www.kb.cert.org/vuls/id/871673
* Référence CVE CVE-2007-5601 :