6月11日消息,RealNetworks发布补丁修复了其媒体播放软件中的两个高威胁等级的安全漏洞。据安全专家说,这两个安全漏洞能够让黑客运行恶意代码。黑客的手段包括引导用户到一个精心制作的网页或者通过电子邮件引诱用户上当。
RealOne Player、RealOne Player v2、RealPlayer 10、RealPlayer 8和RealPlayer企业版等版本的媒体播放软件都受到这两个安全漏洞的影响。RealNetworks已经发布了安全补丁修复了除了RealPlayer 8以外的上述全部软件中的安全漏洞。该公司在安全公告中称,这些软件使用内置的升级程序就可以下载补丁,并且建议使用RealPlayer 8软件的用户升级到RealPlayer 10。
RealPlayer 8在声明中称,虽然我们还没有接到任何人受到这两个安全漏洞影响的报告,但是本公司对于所有的安全问题都是非常重视的。
第一个安全漏洞是由eEye数字安全公司发现的。这个安全漏洞与一个名为“embd3260.dll”的文件有关。这个安全漏洞与这个文件产生错误提示的方式有关。内存需要分配一个堆栈块容纳这个错误提示的信息,由于在计算缓存大小的方式上存在这个安全漏洞,就会发生缓存溢出的问题。于是,黑客使用一个嵌入在网页中的一个错误的电影文件就可以在用户的计算机上运行恶意代码。
第二个安全漏洞是IDefense公司发现的。这个安全漏洞与RealPlayer播放软件处理URL地址的方式有关,能够让包含大量“,”符号的网络地址控制用户的计算机。利用这个安全漏洞的一种方法是在网络服务器上放置一个包含恶意的URL地址的.RAM文件,然后向攻击目标发送一封包含这个文件链接的电子邮件。
研究人员称,利用这两个安全漏洞最可能的方式是通过发送包含这类恶意文件链接的垃圾邮件。用户对这个情况的了解是防御这类攻击的最好方法。
这两个安全漏洞都是一个月前向RealNetworks公司报告的。公开披露的时间与发布补丁的时间是一致的。