Actualización para RealPlayer y RealOne Player
RealNetworks ha publicado una actualización que corrige una vulnerabilidad crítica de sus reproductores para plataforma Windows, cuya explotación permitiría a un atacante ejecutar código arbitrario.
La vulnerabilidad tiene su origen en un desbordamiento de buffer en la biblioteca DUNZIP32.DLL, encargada de procesar el formato de compresión ZIP. Idéntico problema afectó a Windows, tal y como comentamos hace unos días en http://www.hispasec.com/unaaldia/2185
RealPlayer utiliza la DLL afectada para descomprimir los archivos skin, de forma que un atacante podría construir uno que explotara el problema y ejecutar código arbitrario en los sistemas que intentaran abrirlo con alguna versión de RealPlayer vulnerable.
Los productos afectados son:
RealPlayer 10.5 (6.0.12.1053)
RealPlayer 10.5 (6.0.12.1040)
RealPlayer 10.5 Beta (6.0.12.1016)
RealPlayer 10
RealOne Player v2
RealOne Player v1
No se encuentran afectadas las versiones para Linux, Mac o Palm.
Los usuarios pueden comprobar su versión de producto desde el menú Help -> About (Ayuda, Acerca de). El parche puede ser descargado e instalado de forma automática desde la opción de actualización del menú herramientas.