弈云 2007-12-15 21:23
RealPlayer漏洞能被黑客利用
RealNetworks2月4日承认影响其媒体播放器不同版本的三个漏洞可以让攻击者用来创建音乐和视频损坏文件,当这些损坏了的文件被播放时,它们可以控制受害者的电脑。
由英国“下一代安全软件”发现的这些漏洞其影响范围波及RealNetworks的RealOne播放器、RealOne播放器第二版、RealPlayer 8、RealPlayer 10 Beta以及公司的RealOne企业级产品。攻击者利用它们通过一定的方式在某一媒体文件当中创建数据。当人们用受到影响的RealPlayer版本播放受损文件时,攻击者的代码将开始运行,从而危及受害者电脑的安全。
由“NGS软件”发布的一项咨询建议表示,“通过将浏览器引向含有受损文件的网站,代码可以在在线用户的目标机器上运行开来。
产品的脆弱性可能会影响3.5亿RealPlayer注册用户的大部分人,但是RealNetworks未说明具体有多少注册用户使用的是易受攻击的版本。
西雅图多媒体公司的一位女发言人艾丽卡-莎芙(Erika Shaffer)2月5日表示,“目前我们还没有接到任何关于有人受到影响的报告。但是我们对待安全问题的态度非常严肃认真,我们非常想尽快解决这些漏洞。”
漏洞可能会通过具体创建的媒体文件被利用,文件类型有五种:RealAudio(RAM)文件,RealAudio Plugin(RPM)文件,RealPix(RP)文件,RealText(RT)文件或同步多媒体综合语言(SMIL)文件。
通过播放媒体文件导致的安全脆弱性向来比较罕见。去年五月,从微软Windows媒体播放器附带的“皮肤”以及界面颜色和图形中发现的漏洞最终导致微软不得不向这套应用程序发布安全补丁。
RealNetworks已经在其网站上向用户发布了指导意见,从而可以让用户进行RealPlayer软件升级。
