Des mises à jour de sécurité pour toutes les versions de RealPlayer
Une faille de sécurité a été découverte sur la plupart des lecteurs multimédias de RealNetworks. L’éditeur propose une batterie de correctifs.
L’éditeur RealNetworks invite fermement les utilisateurs de son lecteur multimédia RealPlayer à procéder à une mise à jour de leur logiciel, suite à la découverte par la société iDefense Labs d’une faille de sécurité affectant la plupart de ses produits sous Windows, Mac OS X et Linux. Cette vulnérabilité permettrait de prendre le contrôle à distance d’un ordinateur via un fichier vidéo ou multimédia.
Eviter les débordements
La simple lecture d’un fichier audio corrompu au format WAV peut en effet causer un débordement de la mémoire tampon (buffer overrun), laissant ainsi la possibilité à un attaquant d’exécuter un code malveillant sur l’ordinateur hôte. La même vulnérabilité, avec les mêmes conséquences potentielles, existe avec les fichiers SMIL (Synchonized Multimedia Integration Language), un langage destiné à l’intégration d’éléments multimédias dans les pages Web.
Cette faille de sécurité affecte RealOne Player V1 et V2, RealPlayer 8 et 10.x, Helix Player (la version open source du lecteur, destinée notamment aux plates-formes Linux et Solaris) et, du côté des solutions professionnelles, RealPlayer Enterprise et RealPlayer Enterprise Manager. Seules les versions 10.5 (6.0.12.1059) et Mac RealPlayer 10.0.0.331 ne sont pas affectées, de même que les déclinaisons du logiciel pour appareils portables (Palm, Symbian et Nokia).
Mises à jour ou réinstallations
Les utilisateurs de Windows et de Mac OS X ont la possibilité de colmater ces failles très simplement via le service de mise à jour inclus dans le logiciel. Pour RealPlayer 8 et RealOne Player V2, il faudra cependant télécharger l’application complète ou choisir « RealPlayer 10.5 with Harmony Technology » dans les options de mise à jour.
Les linuxiens sont quant à eux invités à installer les dernières versions de RealPlayer 10 et Helix Player. Pour les entreprises utilisant RealPlayer Enterprise (versions 1.1 à 1.7) et RealPlayer Enterprise Manager, un correctif spécifique, qu’il faudra installer manuellement, a été mis à disposition par l’éditeur.