Actualización para RealPlayer y RealOne Player

RealNetworks ha publicado una actualización que corrige una vulnerabilidad crítica de sus reproductores para plataforma Windows, cuya explotación permitiría a un atacante ejecutar código arbitrario.

La vulnerabilidad tiene su origen en un desbordamiento de buffer en la biblioteca DUNZIP32.DLL, encargada de procesar el formato de compresión ZIP. Idéntico problema afectó a Windows, tal y como comentamos hace unos días en http://www.hispasec.com/unaaldia/2185

RealPlayer utiliza la DLL afectada para descomprimir los archivos skin, de forma que un atacante podría construir uno que explotara el problema y ejecutar código arbitrario en los sistemas que intentaran abrirlo con alguna versión de RealPlayer vulnerable.

Los productos afectados son:

RealPlayer 10.5 (6.0.12.1053)

RealPlayer 10.5 (6.0.12.1040)

RealPlayer 10.5 Beta (6.0.12.1016)

RealPlayer 10

RealOne Player v2

RealOne Player v1

No se encuentran afectadas las versiones para Linux, Mac o Palm.

Los usuarios pueden comprobar su versión de producto desde el menú Help -> About (Ayuda, Acerca de). El parche puede ser descargado e instalado de forma automática desde la opción de actualización del menú herramientas.