如果您也是RealPlayer 的使用者，必需继续阅读这则新闻！ Windows, Mac, Linux 都需要更新，否则骇客会入侵你的电脑 RealNetworks修补两个重要漏洞 文/陈晓莉 2005-11-14 RealNetworks上周四（11/10）针对旗下数位媒体播放器 RealPlayer的两个漏洞发布修补程式，这两个漏洞是由资讯安 全研究公司eEye Digital Security所发现并呈报RealNetworks ，eEye将此两个漏洞都列为「高」（High）威胁等级，不过 RealNetworks仅把其中一个列为「高」风险等级。 根据eEye对「高」风险等级的定义，指的是骇客能够利用该漏 洞远端控制受感染的电脑。 其中一个漏洞让骇客透过电子邮件传送一个特制的.rm电影档案 时，只要用户执行这个档案就可能造成缓冲区溢位，并允许骇 客在使用者的电脑上执行恶意程式以进一步远端遥控使用者电 脑。 该漏洞影响RealNetworks许多平台及版本，包括微软视窗作业 系统平台上的RealPlayer 10.5、RealPlayer 10、 RealOne Player v2、RealOne Player v1、RealPlayer 8及RealPlayer Enterprise；以及苹果Mac平台上的RealPlayer 10与Linux平台 上的RealPlayer 10 与Helix Player。 第二个漏洞由RealNetworks设为「高」风险等级，它能够允许 一个RealPlayer的skin档案（副档名为.rjs）在未经使用者许 可时透过浏览器下载并且自动执行。一个在网路上供人下载的 skin档案通常为ZIP压缩格式，其中包含图像及.ini档，下载之 後RealPlayer提供解压缩工具。 骇客可以趁此机会创造一个恶意.rjs档，也压缩成ZIP格式，同 时骇客也改变.rjs档案长度，当RealPlayer解压缩这个内含恶 意程式的ZIP档时，就可能造成大量溢位。 第二个漏洞仅影响RealPlayer在微软视窗作业系统上执行的版 本。 RealNetworks呼吁用户紧急下载修补程式，该修补程式也可自 用户RealPlayer上的「Check for Update」工具自动更新。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 203.68.92.26