RealNetworks 公布 2003 年 3 月安全更新以解決 RealOne Player 與 RealPlayer 的安全漏洞。
2003 年 3 月 27 日
在 2003 年 3 月 7 日,RealNetworks 得知某個會影響 RealOne Player 與 RealPlayer 8 的安全漏洞。
該漏洞的描述如下:
- 藉由故意建立毀損的 PNG (Portable Network Graphics,可攜式網路圖形) 格式檔案,駭客可以導致系統堆疊毀損,並藉此在使用者電腦上執行任意程式碼。
雖然我們並未接到任何使用者真正因為此漏洞而遭遇攻擊的報告,RealNetworks 對於所有安全漏洞皆非常重視。RealNetworks 已經查出並修正此問題。
該漏洞是由於上述軟體的 RealPix 元件中,使用了有瑕疵的舊版資料壓縮程式庫。在 RealPix 中使用新版無瑕疵的資料壓縮程式庫即可修正此漏洞。
除了修正報告中的漏洞外,RealNetworks 並對所有的 RealOne Player 原始程式碼進行了檢查,以確認該資料壓縮程式庫是否被應用於其他方面。基於檢查的結果,其他的播放程式軟體元件也被一併修正,並包含在所提供的更新中。
受影響的軟體:
RealOne Player 與 RealOne Player v2 Windows 版本 (所有語言版本)、RealPlayer 8 for Windows (所有語言版本)、RealPlayer 8 for Mac OS 9、RealOne Player for Mac OS X、RealOne Enterprise Desktop Manager 與 RealOne Enterprise Desktop (所有版本)。
Helix DNA Client 並不會受到此漏洞的影響。
要確定您的播放程式受到妥善保護,我們建議您安裝現有更新。
更新
Windows 播放程式:
請使用下列步驟來更新 RealOne Player 與 RealPlayer 8:
RealOne Player (6.0.10.505)、RealOne Player 第 2 版 (6.0.11.853):
- 進入「工具」功能表。
- 選擇「檢查更新」。
- 選擇「安全性更新 - 2003 年 3 月」元件旁的核取方塊。
- 按一下「安裝」按鈕以下載並安裝更新。
RealPlayer 8 (6.0.9.584 版):
- 進入「說明」功能表。
- 選擇「檢查更新」。
- 選擇「安全性更新 - 2003 年 3 月」元件旁的核取方塊。
- 按一下「安裝」按鈕以下載並安裝更新。
RealOne Player for OS X:
請造訪 http://forms.real.com/real/realone/mac.html 並下載更新版的 RealOne Player。
RealPlayer 8 for MacOS 9 (6.0.9.584 版):
請按一下這裡以下載更新壓縮檔,然後依照下列步驟安裝更新元件:
- 使用 Stuffit Expander 將更新檔案解壓縮。
- 如果 RealPlayer 正在執行中,請加以關閉。
- 由壓縮檔中複製下列更新檔案:
- pxpf60.dll
- pxpr60.dll
- pxgr60.dll
- pxcpng60.dll
- httpfsys60.dll
- swfrend60.dll
- 開啟「System Folder」檔案夾
- 開啟「System Folder」檔案夾中的「Application Support」檔案夾
- 開啟「Application Support」中的「Real」檔案夾
- 開啟「Real」檔案夾中的「Plugins」檔案夾
- 當系統詢問是否要取代同名舊檔案時,選擇「確定」。
RealOne Desktop Manager 與 RealOne Enterprise Desktop 更新將在下星期提供。本網頁屆時將會更新並加入相關連結。
其他播放程式版本:
對於其他版本 RealPlayer 軟體、含下列版本:
- RealOne Player 第 2 版 (6.0.11.818 版到 6.0.11.841 版)
- RealPlayer 8 (6.0.9.584 版之前版本)
- RealPlayer 7
- RealPlayer G2
鳴謝:
該漏洞是在 Core Security Technologies 的 Carlos Sarraute 與 Juliano Rizzo 協助下得知,特此鳴謝。
擔保:
RealNetworks 竭力提供您最高品質的產品與服務,然而我們無法保證任何 RealNetworks 產品的運作將不包含任何錯誤、永不中止且永遠安全。請參閱原始授權合約以瞭解我們的有限擔保或擔保免責事項。