Gat in RealPlayer kan kwaadaardige code toelaten

De nieuwste versie van RealPlayer blijkt een beveiligingslek te bevatten waar kwaadwillende contentaanbieders hun voordeel mee kunnen doen. Het probleem doet zich voor als de gebruiker een filmpje afspeelt waarvan de header zodanig is verknoeid dat RealPlayer een buffer overflow veroorzaakt. Het gevolg is dat het programma crasht. Hierna kan bij een aanval op de machine willekeurige code uitgevoerd worden:

Real logoTim Morgan, an Oregon-based security expert, categorized the RealPlayer 8 flaw as a medium security risk because he was unable to determine how to exploit the flaw to run such code. But he said others with more skill may be able to exploit the vulnerability.

"It is just a matter of time before someone discovers a string that gets them onto the stack with arbitrary code execution. That is, if someone hasn't already," wrote Morgan in an updated advisory published today at his Web site and submitted to security mailing lists.

De buffer overflow kan zowel in de Windows- als Unix-versies van RealPlayer 8 voorkomen. Real Networks heeft aangekondigd dat binnenkort een patch voor het probleem verschijnt. Vanaf vrijdag zal de patch via de automatische update van RealPlayer verspreid worden. Meer informatie vindt je achter deze link, waarvoor dank aan Waterlelie.

Door Bram Kouwenberg

Nieuwsposter

Feedback • 30-01-2002 02:21 29

30-01-2002 • 02:21

29

Bron: Newsbytes

Lees meer

Lekken ontdekt in RealOne player
Lekken ontdekt in RealOne player Nieuws van 9 februari 2004
RealNetworks lanceert RealPlayer 10 met muziekshop
RealNetworks lanceert RealPlayer 10 met muziekshop Nieuws van 8 januari 2004
RealNetworks en Sony sluiten verbond
RealNetworks en Sony sluiten verbond Nieuws van 2 mei 2002
Realplayer voortaan in Nokia telefoons
Realplayer voortaan in Nokia telefoons Nieuws van 15 maart 2002
RealNetworks boekt succes met betaalde content
RealNetworks boekt succes met betaalde content Nieuws van 31 januari 2002
RealNetworks kijkt verder dan alleen pc's
RealNetworks kijkt verder dan alleen pc's Nieuws van 9 januari 2002
Onderzoek: Mediaspeler sneller dan RealPlayer
Onderzoek: Mediaspeler sneller dan RealPlayer Nieuws van 12 december 2001
Real combineert Jukebox en Player in RealOne
Real combineert Jukebox en Player in RealOne Nieuws van 24 september 2001
Real.com wil games tegen betaling laten downloaden
Real.com wil games tegen betaling laten downloaden Nieuws van 21 maart 2001
RealNetworks topman voorziet einde Napster
RealNetworks topman voorziet einde Napster Nieuws van 30 juni 2000
RealNetworks neemt licentie op Windows Media codec
RealNetworks neemt licentie op Windows Media codec Nieuws van 15 maart 2000
RealPlayer 7 beta for Linux is uit
RealPlayer 7 beta for Linux is uit Nieuws van 14 maart 2000
Realplayer 7 released
Realplayer 7 released Nieuws van 8 november 1999
Meer producten en artikelen
Software

Reacties (29)

-Moderatie-faq
29
28
20
4
1
0
Wijzig sortering
Ragger 30 januari 2002 07:49
RealPlayer is zo'n programma dat in wezen geweldig is: het werkt in principe natuurlijk hartstikke leuk, live striempies luisteren via internet en behoorlijk gecomprimeerd.

Totdat bij Real de afdelingen Commercie & Marketing (Poen & Spionage) zich met het programma gingen bemoeien. Wat een bende is het toen geworden! De rotzooi die er ongevraagd wordt geïnstalleerd, niet te geloven. RealPlayer is, als ik het mij goed herinner, het programma waarmee de spyware-commotie begon. En ze gaan er ongegeneerd mee door, ook al zeggen ze telkens van niet.

Voor mij (al lang) geen RealPlayer meer.
MightyMauz @Ragger30 januari 2002 09:17
Dat vind ik nou ook!
Door al die rotzooi die ze erin stoppen, wordt je systeem ook vaak trager en crash gevoeliger
Verwijderd 30 januari 2002 02:52
http://www.musiclivesonline.com/software/watara.html

dat is een link naar een Winamp plugin om .rm bestanden mee af te spelen ZONDER realplayer }>
Verwijderd @Verwijderd30 januari 2002 03:35
jammer: You must have Real Player installed in order for this plugin to work. Download Real Player.
hirogen_hunter 30 januari 2002 02:45
Mhh is er geen alternatief voor realplayer.. iemand?
Ik heb echt zo een enorm de pest aan realplayer :-(
Al die troep....
wmvink @hirogen_hunter30 januari 2002 02:53
Ik WEIGER Realplayer te installeren. Ja dan mis ik wat filmpjes maar boeie wat een troep is dat zeg!

Geen verstand van hoe Realplayer zich in je systeem nestelt maar het lijkt het bijna over te nemen. AdAware zou die shit moeten unistallen.

<sowwie werd ff woest bij het horen van de naam Realplayer>
RRRobert @wmvink30 januari 2002 07:53
't is jammer dat bovenstaande berichten als flamebait resp. troll worden gemodereerd, want ze hebben IMHO wel gelijk. (Na ja, dat zal met deze post dus ook wel gebeuren)

Het is bij ons op het werk dan ook ten strengste verboden om Realplayer op de PC's te zetten, gezien de ellende die deze software kan aanrichten. Ik heb 't laatst ook al bij een kennis op z'n nieuwe privé PC aangetroffen. Was er door de leverancier opgezet... :( Duidelijk iemand die graag ellende over zich afroept...
Verwijderd @RRRobert30 januari 2002 08:32
Ik ben het ook eens dat de RealPlayer er gewoon niet opkomt.

Alleen al die setup....Ik heb het eenmalig geinstalleerd en als ik al zie dat alle opties mbt tot reclame e.d. aangevinkt staan, maar wel net op zo'n plaats dat je naar beneden moet scrollen dan weet ik gewoon genoeg.

Sneaky heet dat |:(
MossMan @RRRobert30 januari 2002 13:14
Ja, en hier wordt er over "de nieuwste versie" gesproken - moet je maar de *echte* nieuwste versie, RealOne, proberen!

VERPLICHT account creëren bij Real, VERPLICHT online activeren na downloaden! Verder gebruikt het allerlei IE DLL's om cookies en andere info continu heen en weer te sturen.

Tijdens het installeren kon ik niet eens al die ongevraagde opties uitzetten zoals in RP8! (RP8 is wel redelijk veilig te installeren mits je weet wat je doet en er achterna opruimt...)

Ik kon hem daarna niet eens activeren omdat ik geen IE op mijn systeem heb - hun reactie: update your browser - mijn reactie: ik heb al gezegd dat ik geen IE ga gebruiken, fuck off!
Verwijderd @RRRobert30 januari 2002 12:20
Daarom is er ook een Plus versie van RealPlayer. Daar zit minder zooi in en je kunt het ook allemaal uitzetten.
robin1979 @hirogen_hunter30 januari 2002 13:00
gstreamer indien je UNIX gebruikt, het is een heel goed alternatief voor welke mediaspeler dan ook. Het is zelfs beschikbaar als een plugin voor Mozilla/Netscape...
Verwijderd 30 januari 2002 10:31
"
Hmm, eerst gaan ze spioneren en nu gaan ze je systeem ook nog laten crashen
"

je systeem laten crashen konden ze altijd al. ik herinner me nog ons eerste webservertje, toendertijd een NT bakkie, waar RP standaard op werd geinstalleerd. Leuk, maar een blauw schermpje later bleek dat RP's 'automatische update' melding de boel goed kon verstieren...
Mooie codec, slechte applicatie. beter hadden ze hun codec op een andere manier geintergreerd dan mbv vervelende nagware.
StGermain @Verwijderd30 januari 2002 11:24
Mooie codec daar ga ik niet helemaal mee akoord... als je ziet wat voor kwaliteit je krijgt met realplayer en dan met DEZELFDE bitrate bij divx dan weet je het wel... streaming divx of mpeg4 zou heel wat bandwith kunnen besparen.
IndoBoy @Verwijderd30 januari 2002 18:27
Ja, maar als je het onder Unix ook presteert is dat toch wel knap denk ik. Op zich wel een prestatie op zich.
it0 30 januari 2002 08:23
Jammer nu kan ik realplayer niet meer als root draaien en dat had ik net zo hard nodig.

Hmmm in unix gewoon met sudo draaien als user nobody (of zoiets)
robin1979 @it030 januari 2002 12:53
Waarom zou je in UNIX een applicatie als root willen draaien? Dat is gewoon 1 van de dingen die je *NOOIT* moet doen (en dat is meteen de reden waarom windows zo gevoelig is voor virii)...

En een programma als SUID (ik neem aan dat je die klok hebt horen luiden) nobody draaien heeft ook weinig zin, ik zou niet weten waarom je user-applicatie onder een andere naam zou willen draaien...

PS: ja, XF86 draait ook SUID root, maar dat is gewoon een tekortkoming in de kernel (applicatie moet wel met root rechten draaien anders kan het de hardware niet benaderen). Dictator Linus wil gewoon geen graphics drivers opnemen in de kernel (hoewel daar verandering in is aan het komen, met de toevoeging van zowel DRI (direct render interface) en KGI (kernel graphics interface, ook wel framebuffer genoemd)...
it0 @robin197930 januari 2002 15:20
Erm het was ironisch bedoeld. En een reden om zaken onder een ander userid te draaien is bv er zeker van te zijn dat je eigen bestanden niet worden gewist..
vso 30 januari 2002 02:28
Leuk *not code die zowel Windows als Linux aandoet. :(

* 786562 vso

Updates jagen wordt steeds en steeds meer een livin' nightmare.
IndoBoy 30 januari 2002 05:38
Hmm, eerst gaan ze spioneren en nu gaan ze je systeem ook nog laten crashen. Ik denk dat Realplayer niet meer veel vertrouwen heeft bij de mensen. Als het zo door gaat zullen ze snel verdwijnen van de markt. En dan... Ja, dan is het vrij spel voor MS. Of dat helemaal betrouwbaar is kan je ook je vraagtekens bij zetten.
Verwijderd 30 januari 2002 09:18
Gelukkig dat ik dit leest wou hem binnenkort downen......maar denk niet dat je er snel mee
word aangevallen

hmm automatische update wat nooit bij mij heeft gewerkt :)
PipoDeClown 30 januari 2002 09:24
Vaag want 8 is al een heel tijdje uit en volgens mij waren ze bezig met een echte nieuwe :?
twiFight 30 januari 2002 12:52
@ PipodeClown

Ja klopt, de nieuwe heeft de naam RealOne gekregen.
Maar de laatste keer dat ik keek zat die nog in de beta fase.

Trouwens, ik weet niet hoe het met de agressieve marketing style zit in RealOne, maar je moet je daarmee gaan registeren bij hun, dus je bent nog niet van de zooi af.
Ik heb toen dus ook maar gelijk de installatie afgebroken..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq