Objevena kritická chyba přehrávače RealPlayer

Známý vývojář Elazar Broad odhalil chybu programu RealPlayer společnosti RealNetwork, jejímž zneužitím lze získat kontrolu nad počítači s operačním systémem Windows a prohlížečem Internet Explorer.

Broad, který během minulých dvou měsíců objevil další bezpečnostní slabiny v softwaru společností MySpace, Facebook a Yahoo, zveřejnil detaily chyby prostřednictvím elektronické konference.

„Je možné modifikovat data takovým způsobem, že dojde k přepsání jistých registrů a je umožněno spuštění vlastního kódu,“ říká Broad ve své zprávě odeslané do konference. Zpráva též obsahuje koncept kódu předvádějícího slabinu a informaci, že plně funkční exploit je ve vývoji.

Dánská společnost Secunia zabývající se monitorováním zranitelnosti software označuje chybu produktu RealPlayer za „vysoce kritickou“ druhým nejvyšším hodnocením a dodává, že soubor „rmoc3260.dll“, který chybu způsobuje, může být napaden navštívením stránek se závadným obsahem.

Secunia dodává, že problém se vyskytuje nejméně v posledním sestavení programu RealPlayer verze 11 a je možné, že se vyskytoval i ve starších verzích.

Naposledy byl RealPlayer napaden hackery v říjnu 2007, kdy útočníci díky chybě v ActiveX ohrozili některé organizace, včetně NASA.

Protože se jedná o chybu řízení ActiveX, jsou postiženi pouze uživatelé prohlížeče Internet Explorer. Technologie ActiveX, která je hojně využívána společností Microsoft k implementaci nových funkcí do IE, je zdrojem řady bezpečnostních ohrožení. Podle společnosti Symantec je 89% z více než 230 chyb prohlížeče evidovaných v první polovině roku 2007 způsobeno právě ActiveX.

Někteří specialisté na bezpečnost doporučují ActiveX nepoužívat. Minulý měsíc vyzvala společnost US-CERT uživatele, aby ActiveX ve svém prohlížeči zakázali. Pro RealPlayer zatím není dostupná oprava, ale zkušení uživatelé mohou pomocí editoru Windows registrů nastavit „kill bit“ pro řízení ActiveX. „Jinou možností“, říká SANS Institute's Internet Storm Center, „je přechod k alternativním internetovým prohlížečům, které nevyužívají ActiveX, například Firefox nebo Opera.“

Nenechte si ujít: Sofistikované podvodné e-maily znovu zaútočily – cílem je nyní Česká spořitelna Půl milionu databázových serverů nemá ani firewall! Šifrovací software se dnes stává již téměř nutností Vydírání se souhlasem: jak přinutit uživatele pornostránek zaplatit? 10 hlavních bezpečnostních hrozeb roku 2008

Společnost RealNetworks na žádost o vyjádření k problému neodpověděla.