RealPlayer-Update schließt zwei Sicherheitslücken

Der RealPlayer von RealNetworks ist ein kostenlos erhältlicher Media Player, der Audio- und Videodateien in diversen Formaten abspielen kann. Dazu gehört auch das IVR-Format (Internet Video Recording), das bis zur Version 14.0.2 des RealPlayer ausgenutzt werden kann, um Code einzuschleusen. Mit der nun bereit stehenden neuen Version 14.0.3 schließt RealNetworks diese und eine weitere Sicherheitslücke.

Für die IVR-Schwachstelle, die in der Programmbibliothek rvrender.dll steckt, hatte deren Entdecker, Luigi Auriemma, im März einen Demo-Exploit veröffentlicht. Die Lücke entsteht, weil der RealPlayer der Angabe der Frame-Größe in der Datei vertraut und einen entsprechend dimensionierten Puffer reserviert. Da hinein schreibt der RealPlayer die Daten. Ist der Frame tatsächlich größer als angegeben, läuft der Puffer über. Der Player stürzt ab, eingeschleuster Code verbleibt im Speicher und kann ausgeführt werden.

Die zweite Schwachstelle ist von Peter Vreugdenhil via TippingPoints Zero Day Initiative an RealNetworks gemeldet worden. Hierbei handelt es sich um eine Art XSS-Lücke im internen Browser des RealPlayer. Ein Angreifer kann einem Besucher einer präparierten Web-Seite eine spezielle RNX-Datei unterschieben, die den RealPlayer-Browser veranlasst über die Methode OpenURLInDefaultBrowser() einen übergebenen Parameter zu verarbeiten. Auf diesem Wege ist es möglich Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen.

Aktuelle, nicht (mehr) von diesen Lücken betroffene Versionen des RealPlayer sind neben v14.0.3 für Windows der Mac RealPlayer 12.0, RealPlayer Enterprise 2.1.5 (Windows) sowie Linux RealPlayer 11.0.2. Vor der Installation der neuen RealPlayer-Version sollten Sie Ihren Web-Browser komplett beenden, damit auch das Browser-Plugin problemlos ersetzt werden kann.