Firma iDefense poinformowała o tym, że RealPlayer i jego wersja open source - HelixPlayer - mogą narażać komputery na niebezpieczeństwo. W najmniej bolesnym przypadku luka może spowodować przerwanie działania aplikacji.

Błąd związany jest z funkcją przetwarzającą znaczniki czasu w plikach multimedialnych typu SMIL. Ze względu na nieprawidłowości w weryfikacji rozmiaru bufora, odpowiednio zmodyfikowane znaczniki mogą wywołać przepełnienie bufora, co w konsekwencji pozwala na wykonanie dowolnego kodu w kontekście użytkownika.

Ciekawostką może być fakt, że w kodzie źródłowym HelixPlayer'a można odnaleźć komentarz /* Flawfinder: ignore */ dla linii kodu, który zawiera wspomniany błąd. Oznacza, to że kod źródłowy był poddawany analizie pod kątem bezpieczeństwa przy pomocy narzędzia FlawFinder. Oznacza to także, że była świadomość potencjalnej luki w tym fragmencie kodu. Tak sformułowany komentarz nakazywał bowiem narzędziu FlawFinder ignorować ewentualne błędy znalezione w następnych liniach. W kodzie HelixPlayer'a można takich miejsc znaleźć jeszcze kilka.

Zagrożenie realizuje się w momencie, gdy zostanie otwarty odpowiednio przygotowany plik SMIL (przez użytkownika lub przeglądarkę internetową). iDefense podaje, że RealNetworks już dostarczyło aktualizacje eliminującą lukę. Należy więc zaktualizować oprogramowanie do najnowszej wersji.

Źródło: iDefense