Suositusta RealPlayer -mediasoittimesta on löydetty uusi haavoittuvuus. Haavoittuvuutta hyväksikäyttämällä on mahdollista suorittaa komentoja kohdejärjestelmässä.
RealPlayer-ohjelmistoon on sisällytetty zip-tiedostoja käsittelevä Microsoft Windows -käyttöjärjestelmän dunzip32.dll-kirjasto, mistä on aikaisemmin löydetty
puskuriylivuotohaavoittuvuus. Puskuriylivuoto tapahtuu, kun pitkän tiedostonimen sisältävä rjs-tiedosto avataan.
Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle. Tällöin rjs-tiedoston lataaminen ja suorittaminen voi tapahtua täysin automaattisesti käyttäjältä mitään kysymättä.
Vain RealPlayerin Windows-versiot ovat haavoittuvia, kertoo CERT-FI. Alttiita ovat RealPlayer 10.5 (versio 6.0.12.1053 ja aikaisemmat), RealPlayer 10, RealOne Player v2 ja RealOne Player v1.
RealPlayerin voi päivittää valmistajan ohjeiden mukaisesti.
