RealPlayer, una falla e una beta

Una vulnerabilità di grave pericolosità è stata scoperta in RealPlayer ed in Helix Player. Il problema coinvolgerebbe rispettivamente le versioni 10.x e 1.x dei due software e Secunia ha etichettato il tutto con un giudizio di pericolosità «estremamente critica» (SA25819).

Il bug è stato identificato nella funzione “SmilTimeValue::parseWallClockValue()”: una stringa eccessivamente lunga è in grado di causare un buffer overflow aprendo all’esecuzione di codice da remoto ed offrendo la possibilità di un exploit tramite la semplice visita di un sito appositamente creato con scopi truffaldini. La vulnerabilità è già stata verificata anche nella versione 10.5 Gold di RealPlayer e la scoperta del tutto è accreditata ad un autore anonimo che ha segnalato il tutto tramite iDefense. Il sito ufficiale Real.com mette già a disposizione per il download le versioni rivedute e corrette dei player vulnerabili e per i possessori degli stessi è pertanto consigliato un immediato upgrade.

Da breve RealPlayer è peraltro disponibile nella nuova versione 11 beta: la nuova release introduce molte nuove funzionalità, la più importante delle quali è relativa alla possibilità di scaricare filmati dai più noti siti di videosharing (YouTube in primis). RealPlayer 11 supporterà, in aggiunta al tradizionale formato RealVideo, anche Flash, Windows Media e QuickTime.