如果您也是RealPlayer 的使用者，必需繼續閱讀這則新聞！ Windows, Mac, Linux 都需要更新，否則駭客會入侵你的電腦 RealNetworks修補兩個重要漏洞 文/陳曉莉 2005-11-14 RealNetworks上周四（11/10）針對旗下數位媒體播放器 RealPlayer的兩個漏洞發布修補程式，這兩個漏洞是由資訊安 全研究公司eEye Digital Security所發現並呈報RealNetworks ，eEye將此兩個漏洞都列為「高」（High）威脅等級，不過 RealNetworks僅把其中一個列為「高」風險等級。 根據eEye對「高」風險等級的定義，指的是駭客能夠利用該漏 洞遠端控制受感染的電腦。 其中一個漏洞讓駭客透過電子郵件傳送一個特製的.rm電影檔案 時，只要用戶執行這個檔案就可能造成緩衝區溢位，並允許駭 客在使用者的電腦上執行惡意程式以進一步遠端遙控使用者電 腦。 該漏洞影響RealNetworks許多平臺及版本，包括微軟視窗作業 系統平臺上的RealPlayer 10.5、RealPlayer 10、 RealOne Player v2、RealOne Player v1、RealPlayer 8及RealPlayer Enterprise；以及蘋果Mac平臺上的RealPlayer 10與Linux平臺 上的RealPlayer 10 與Helix Player。 第二個漏洞由RealNetworks設為「高」風險等級，它能夠允許 一個RealPlayer的skin檔案（副檔名為.rjs）在未經使用者許 可時透過瀏覽器下載並且自動執行。一個在網路上供人下載的 skin檔案通常為ZIP壓縮格式，其中包含圖像及.ini檔，下載之 後RealPlayer提供解壓縮工具。 駭客可以趁此機會創造一個惡意.rjs檔，也壓縮成ZIP格式，同 時駭客也改變.rjs檔案長度，當RealPlayer解壓縮這個內含惡 意程式的ZIP檔時，就可能造成大量溢位。 第二個漏洞僅影響RealPlayer在微軟視窗作業系統上執行的版 本。 RealNetworks呼籲用戶緊急下載修補程式，該修補程式也可自 用戶RealPlayer上的「Check for Update」工具自動更新。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.68.92.26