L’éditeur RealNetworks invite fermement les utilisateurs de son lecteur multimédia RealPlayer à procéder à une mise à jour de leur logiciel, suite à la découverte par la société iDefense Labs d’une faille de sécurité affectant la plupart de ses produits sous Windows, Mac OS X et Linux. Cette vulnérabilité permettrait de prendre le contrôle à distance d’un ordinateur via un fichier vidéo ou multimédia.
Eviter les débordements
La simple lecture d’un fichier audio corrompu au format WAV peut en effet causer un débordement de la mémoire tampon (buffer overrun), laissant ainsi la possibilité à un attaquant d’exécuter un code malveillant sur l’ordinateur hôte. La même vulnérabilité, avec les mêmes conséquences potentielles, existe avec les fichiers SMIL (Synchonized Multimedia Integration Language), un langage destiné à l’intégration d’éléments multimédias dans les pages Web.
Cette faille de sécurité affecte RealOne Player V1 et V2, RealPlayer 8 et 10.x, Helix Player (la version open source du lecteur, destinée notamment aux plates-formes Linux et Solaris) et, du côté des solutions professionnelles, RealPlayer Enterprise et RealPlayer Enterprise Manager. Seules les versions 10.5 (6.0.12.1059) et Mac RealPlayer 10.0.0.331 ne sont pas affectées, de même que les déclinaisons du logiciel pour appareils portables (Palm, Symbian et Nokia).
Mises à jour ou réinstallations
Les utilisateurs de Windows et de Mac OS X ont la possibilité de colmater ces failles très simplement via le service de mise à jour inclus dans le logiciel. Pour RealPlayer 8 et RealOne Player V2, il faudra cependant télécharger l’application complète ou choisir « RealPlayer 10.5 with Harmony Technology » dans les options de mise à jour.
Les linuxiens sont quant à eux invités à installer les dernières versions de RealPlayer 10 et Helix Player. Pour les entreprises utilisant RealPlayer Enterprise (versions 1.1 à 1.7) et RealPlayer Enterprise Manager, un correctif spécifique, qu’il faudra installer manuellement, a été mis à disposition par l’éditeur.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…