Faille critique sur RealOne et RealPlayer

Elle permettrait à un assaillant d’exécuter du code arbitraire à distance sur une machine utilisant une version vulnérable du lecteur

Une faille critique vient d’être mise à jour par la société NGSSoftware basée en Angleterre. Cette vulnérabilité, qualifiée de critique, pourrait permettre à un assaillant d’exécuter du code arbitraire à distance sur une machine utilisant une version vulnérable de RealPlayer.

Pour s’y prendre, le pirate devra créer un fichier piégé de type .RP, .RT, .RAM, .RPM ou .SMIL qui permet de forcer RealPlayer à exécuter une ou plusieurs commandes lors de l’ouverture du dit fichier. Le danger réside dans le fait que ce fichier peut être présent dans une page web ou en pièce attachée dans un email. Une faille vecteur de virus ? Ce type de vulnérabilité pourrait d’ailleurs être utilisé comme vecteur de propagation pour un nouveau virus. Les instructions du virus pourraient être contenues dans le « shellcode » employé lors de l’exploitation de cette faille de la famille des « buffer overflow » (dépassement de mémoire tampon). Il est alors facile d’imaginer la possibilité de camoufler un virus dans un fichier de type Real. Le ver Blaster utilisait déjà cette technique qui consiste à placer les instructions du virus dans le shellcode employé lors de l’exploitation de la vulnérabilité Windows RPC. Cette méthode permet entre autre de faire résider le virus en mémoire sans que le fichier exécutable ne soit posé sur le disque dur. On a également observé la possibilité de cacher un virus dans un fichier Divx, maintenant ce sont les fichiers Real qui pourraient être utilisés comme vecteur de propagation tant que les players vulnérables ne seront pas corrigés. Ce type fichiers Real aux faux airs inoffensifs, si ils étaient correctement utilisés par les créateurs de virus, pourraient se révéler comme une arme destructrice sans compter sur l’aide des réseaux peer to peer pour diffuser des vidéos ou bandes sonores très prisées mais vérolées. Quoi qu’il en soit, la solution est simple, il est conseillé de mettre à jour votre version de Real Player au plus tôt sur le site de l’éditeur. Aurélien Cabezon Vulnerabilite.com (c)