RealPlayer ancora a rischio. E finora senza rimedio
**Leggi gli ultimi articoli di Guido**
A tre mesi dagli ultimi bug, RealPlayer (così come il suo corrispondente open source, Helix) si scopre ancora una volta vulnerabile.
Non è certo la prima volta che accade, ma stavolta il bug è stato accompagnato da uno zero day exploit, ovvero un codice già in libera circolazione, e in grado di trarre vantaggio (o semplicemente evidenziare) una vulnerabilità non ancora corretta. E’ stato un ricercatore privato a darne notizia: le versioni interessate sono RealPlayer fino alla 10.0.5.756 Gold ed Helix Player fino alla 1.0.5.757.State sicuri L’errore risiede nellq gestione sbagliata dei file con estensione .rp e .rt, richiamabili dal lettore: una stringa appositamente formata (e richiamata da RealPlayer come un semplice link) può portare alla presa di controllo da remoto del sistema vulnerabile, mediante esecuzione arbitraria di codice.
Il ricercatore (che agisce con il nome di c0ntex) ha motivato in maniera particolare il rilascio dell’exploit prima della patch: “Sembra che qualcuno voglia rubarmi i risultati della mia ricerca, e quindi sono stato costretto a rilasciare il codice prima del previsto.
Fino a quando RealNetworks non rilascerà una nuova versione, è meglio non riprodurre file non fidati con RealPlayer o HelixPlayer”.
Nessun commento da parte di RealNetworks, mentre il CEO di Secunia (che valuta il bug “altamente critico”) Thomas Kristiansen ha dichiarato: “Se non altro, l’autore si rende conto dei rischi legati a una disclosure della vulnerabilità troppo anticipata”. Magra consolazione, per dirla tutta: sia per RealNetworks (che dovrà affrettarsi per fornire un rimedio) che per gli utenti, che ora sono a rischio.
Ancora nessun commento.