Компания Real Networks ликвидировала 4 серьезных уязвимости в своих медиаплеерах Real, Rhapsody и Helix, сообщает сайт vnunet.com. Две из четырех уязвимостей были связаны с переполнением буфера. Чтобы атаковать пользователей медиаплееров, злоумышленникам было достаточно всего лишь проиграть медиафайл.

Одна из уязвимостей использовала формат avi для переполнения динамической памяти атакуемой машины и позволяла хакерам устанавливать полный контроль над системой. Использовать уязвимость можно было с помощью веб-ресурса, на котором размещался видеофайл, запускавшийся автоматически. Уязвимость существовала в большинстве приложений RealPlayer для Windows, а также в плеерах Rhapsody. Аналогичным методом можно было атаковать системы под управлением Mac OS X и Linux.

Еще одна уязвимость в Real позволяла злоумышленникам создавать mp3-файлы, которые перезаписывали себя на файлы, хранящиеся в системе пользователя или запускали панели ActiveX. ActiveX позволяет скачивать и устанавливать приложения на компьютер без участия пользователя. Service Pack 2 для Windows XP предупреждает пользователей о запуске ActiveX.

Последняя из заявленных уязвимостей использовала дефолтные установки в ранних версиях Internet Explorer и на их базе создавала специальные файлы, которые автоматически запускались через RealMedia плеер. Ни одна из-за заявленных уязвимостей не касается Real плееров для телефонов Nokia и компьютеров Palm.

Компания RealNetworks выпустила патчи для ряда своих аудио-видео плееров, сообщает сайт News.com. Патчи предназначены для ликвидации брешей, позволявших хакерам атаковать машины пользователей программы RealPlayer через переполнение буфера.

Чтобы атаковать машину злоумышленнику достаточно было запустить на ней специальный WAV или SMIL-файл. Датская компания Secunia охарактеризовала уязвимость в RealPlayer как критическую.

В числе выпущенных RealNetworks обновлений — патчи для Mac RealPlayer 10 и нескольких программ для Windows, в том числе RealPlayer 10.5, RealPlayer 10, RealPlayer Enterprise и RealOne Player v2. В обновлениях нуждаются RealOne Player v1, RealPlayer 8 и некоторые версии RealOne Player v2 для Windows, Mac RealOne Player, Linux RealPlayer 10 и Helix Player для Linux.

Прежняя уязвимость RealPlayer была найдена в октябре. Она позволяла хакерам создавать фальшивые видеофайлы и с их помощью запускать вредоносные программы на машине жертвы.