RealNetworks上周四(11/10)針對旗下數位媒體播放器RealPlayer的兩個漏洞發布修補程式,這兩個漏洞是由資訊安全研究公司eEye Digital Security所發現並呈報RealNetworks,eEye將此兩個漏洞都列為「高」(High)威脅等級,不過RealNetworks僅把其中一個列為「高」風險等級。
根據eEye對「高」風險等級的定義,指的是駭客能夠利用該漏洞遠端控制受感染的電腦。
其中一個漏洞讓駭客透過電子郵件傳送一個特製的.rm電影檔案時,只要用戶執行這個檔案就可能造成緩衝區溢位,並允許駭客在使用者的電腦上執行惡意程式以進一步遠端遙控使用者電腦。
該漏洞影響RealNetworks許多平臺及版本,包括微軟視窗作業系統平臺上的RealPlayer 10.5、RealPlayer 10、 RealOne Player v2、RealOne Player v1、RealPlayer 8及RealPlayer Enterprise;以及蘋果Mac平臺上的RealPlayer 10與Linux平臺上的RealPlayer 10 與Helix Player。
第二個漏洞由RealNetworks設為「高」風險等級,它能夠允許一個RealPlayer的skin檔案(副檔名為.rjs)在未經使用者許可時透過瀏覽器下載並且自動執行。一個在網路上供人下載的skin檔案通常為ZIP壓縮格式,其中包含圖像及.ini檔,下載之後RealPlayer提供解壓縮工具。
駭客可以趁此機會創造一個惡意.rjs檔,也壓縮成ZIP格式,同時駭客也改變.rjs檔案長度,當RealPlayer解壓縮這個內含惡意程式的ZIP檔時,就可能造成大量溢位。
第二個漏洞僅影響RealPlayer在微軟視窗作業系統上執行的版本。
RealNetworks呼籲用戶緊急下載修補程式,該修補程式也可自用戶RealPlayer上的「Check for Update」工具自動更新。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-16
2026-01-12
