Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

La semana pasada se alertaba de una vulnerabilidad en RealPlayer que era descubierta de la "peor" forma posible: A través de un exploit funcional. El fallo estaba siendo aprovechado para ejecutar código sin que oficialmente se tuviera constancia de su existencia.

El día 18 de octubre se daba la voz de alarma. RealPlayer en todas sus versiones y RealOne Player eran vulnerables a un problema desconocido hasta el momento y del que existía exploit. El código para explotar el fallo también era desconocido hasta el momento. El problema se daba en el control ActiveX del reproductor (ierpplug.dll), por tanto se limitaba a los usuarios de Internet Explorer bajo Windows. Esto permitía comprometer el sistema con sólo visitar con Internet Explorer una página web especialmente manipulada, con permisos de administrador, y sin necesidad de que el reproductor estuviese funcionando en el momento.

RealPlayer sufrió de un problema de denegación de servicio a finales de 2006. Al parecer, los atacantes podrían haber estudiado con más detalle el problema y conseguir no solo hacer que el programa dejase de funcionar, sino ejecutar código. Varias webs comprometidas o construidas expresamente estaban ya aprovechando el fallo para infectar sistemas. No se sabe durante cuánto tiempo han conocido este problema y han explotado sus posibilidades.

El código que aprovechaba de forma automática la vulnerabilidad para ejecutar código ya tiene nombre, que varía según cada casa antivirus, pero la mayoría es capaz de detectarlo y lo han ido añadiendo a sus firmas durante el fin de semana. Como viene siendo habitual en el malware, una vez se conseguía ejecutar código, éste se descargaba otro componente vírico desde un servidor.

De manera ejemplar, RealNetworks, la compañía detrás del popular reproductor, lanzó un parche apenas 24 horas después de darse a conocer la existencia de la grave vulnerabilidad. El enlace se encuentra en la sección de "más información" y actualiza la librería MPAMedia.dll.

Además, como contramedida, se recomienda activar el kill bit del control para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutándolo como administrador (se recomienda manipular con cuidado el registro):

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} ]
"Compatibility Flags"=dword:00000400


Más Información:

Parche RealPlayer:
http://service.real.com/realplayer/s...securitydb.rnx

RealPlayer playlist name stack buffer overflow
US-CERT Vulnerability Note VU#871673

• Fuente

muy buena info .. aunque yo no utiliso Realplayer ni Realone ya que tanto real como Quicktime ambos son mas vulnerables .. pero enfin .. Gracias muy buena info

Gracias por la info Koitainer, yo ya tengo tiempo con este reproductor, pero sabes que antivirus elimina el código? o por lo menos lo encuentra?(por si las dudas)

Salu2.

; de igual manera no dejes de activar el kill bit del control, copia : Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} ]
"Compatibility Flags"=dword:00000400 en un block de notas y guardalo con extension .reg y lo ejecutas; aparte del parche.

Excelente el informe, gracias por el aporte!

Listo , gracias nos estamos viendo por acá.

Salu2

Muy buena informacion!

buena info, igualmente yo no uso Real Player, si no QuickTimes+iTunes.

Saludos

• Se han encontrado múltiples vulnerabilidades en RealPlayer, RealOne y HelixPlayer que podrían ser explotadas por un atacante remoto para comprometer un sistema vulnerable.
  
  Las vulnerabilidades están causadas por errores de límite al procesar archivos de diversos formatos: mp3, rm, SMIL, swf, ram y pls. Esto podría ser explotado por un atacante remoto para causar desbordamientos de buffer por medio de archivos especialmente manipulados.
  
  Una o varias vulnerabilidades están confirmadas para las versiones y productos:
  RealPlayer 10.x
  RealOne Player v2
  RealOne Player v1
  RealPlayer 8
  RealPlayer Enterprise
  Mac RealPlayer 10.x
  Mac RealOne Player
  Linux RealPlayer 10.x
  Helix Player 10.x

Se recomienda actualizar a las últimas versiones de cada producto, disponibles desde:
Customer Support - Real Security Updates


Más Información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
Customer Support - Real Security Updates

Fuente

¿Cómo haces eso ?

Ya agregué lo del registro y actualicé el RealPlayer, aunque nunca lo uso