La semana pasada se alertaba de una vulnerabilidad en RealPlayer que era descubierta de la "peor" forma posible: A través de un exploit funcional. El fallo estaba siendo aprovechado para ejecutar código sin que oficialmente se tuviera constancia de su existencia.
El día 18 de octubre se daba la voz de alarma. RealPlayer en todas sus versiones y RealOne Player eran vulnerables a un problema desconocido hasta el momento y del que existía exploit. El código para explotar el fallo también era desconocido hasta el momento. El problema se daba en el control ActiveX del reproductor (ierpplug.dll), por tanto se limitaba a los usuarios de Internet Explorer bajo Windows. Esto permitía comprometer el sistema con sólo visitar con Internet Explorer una página web especialmente manipulada, con permisos de administrador, y sin necesidad de que el reproductor estuviese funcionando en el momento.
RealPlayer sufrió de un problema de denegación de servicio a finales de 2006. Al parecer, los atacantes podrían haber estudiado con más detalle el problema y conseguir no solo hacer que el programa dejase de funcionar, sino ejecutar código. Varias webs comprometidas o construidas expresamente estaban ya aprovechando el fallo para infectar sistemas. No se sabe durante cuánto tiempo han conocido este problema y han explotado sus posibilidades.
El código que aprovechaba de forma automática la vulnerabilidad para ejecutar código ya tiene nombre, que varía según cada casa antivirus, pero la mayoría es capaz de detectarlo y lo han ido añadiendo a sus firmas durante el fin de semana. Como viene siendo habitual en el malware, una vez se conseguía ejecutar código, éste se descargaba otro componente vírico desde un servidor.
De manera ejemplar, RealNetworks, la compañía detrás del popular reproductor, lanzó un parche apenas 24 horas después de darse a conocer la existencia de la grave vulnerabilidad. El enlace se encuentra en la sección de "más información" y actualiza la librería MPAMedia.dll.
Además, como contramedida, se recomienda activar el kill bit del control para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutándolo como administrador (se recomienda manipular con cuidado el registro):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} ]
"Compatibility Flags"=dword:00000400 Más Información:
Parche RealPlayer:
http://service.real.com/realplayer/s...securitydb.rnx
RealPlayer playlist name stack buffer overflow
US-CERT Vulnerability Note VU#871673