RealPlayer 可預料的暫存檔跨網域指令碼漏洞
最後更新
2011年02月11日
發佈日期:
2011年02月10日
3050
觀看次數
風險: 高度風險
類型: 用戶端 - 影音
在 RealPlayer 發現漏洞,遠端攻擊者可利用漏洞控制受影響的系統。由於儲存 RM 檔案參照的應用程式所使用的臨時檔案名稱命名方案產生錯誤,惡意網站可透過推測臨時檔案名稱,及把該名稱和 RealPlayer ActiveX 控制的 "OpenURLinPlayerBrowser()" 函數結合,利用漏洞執行任意程式碼。
影響
- 遠端執行程式碼
受影響之系統或技術
- RealPlayer 版本 11.0 至 11.1
- RealPlayer SP 版本 1.0 至 1.1.5
- RealPlayer 版本 14.0.0 至 14.0.1
- RealPlayer Enterprise 版本 2.0 至 2.1.4
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 升級至 RealPlayer 版本 14.0.2 及 RealPlayer Enterprise 版本 2.1.5。
漏洞識別碼
資料來源
相關連結
分享至