Elkészült a RealOne Player javítása

Tóth Kristóf, 2002. december 20. 08:12
A RealNetworks Inc. szerdán kiadta azt a javítófoltot, amely a társaság szerint véglegesen megszünteti a RealOne Player szoftverben felfedezett biztonsági réseket.
A szerdán kiadott javítófolt összesen kilenc olyan biztonsági rést szüntet meg a RealOne Playerben, amely lehetővé tette a támadóknak, hogy átvegyék a szoftvert futtató számítógép irányítását, közölte a RealNetworks. A puffertúlcsordulási jellegű hibákat elsőként Mark Litchfeld, a brit Next Generation Security Software Ltd. kutatója fedezte fel még novemberben.

A puffertúlcsordulási (buffer overflow) hibákat kihasználva a hackerek saját kódot futtathatnak a RealOne Playert futtató PC-ken, amelyekkel így gyakorlatilag bármit megtehetnek, amit maga a felhasználó is megtehetne. Ehhez először egy speciálisan kialakított fájl letöltésére, illetve lejátszására kell rávenni a felhasználót.

Litchfield azok felfedezését követően azonnal értesítette a RealNetworkst a hibákról. A társaság közölte, mint minden biztonsági hibát, így a mostanit is rendkívül komolyan veszi, és néhány nap múlva ki is adott egy javítást. Erről a javítófoltról hamar kiderült azonban, hogy viszonylag egyszerűen megkerülhető, így valójában nem orvosolja a problémát: mivel Litchfield a javítófolt kiadását követően is folytatta vizsgálatait, hamar fény derült a RealNetworks javításának problémájára.

A szerdán kiadott javítófolt azonban már végleg megoldja a felfedezett kilenc biztonsági rést, állítja a társaság. A patch elérhető a RealOne Player "Tools->Check for Updates" menüpontjára kattintva, vagy letölthető a http://service.real.com/help/faq/security/bufferoverrun_update.html weboldalról.