Forskere har nylig funnet sikkerhetshull i både RealNetworks' RealPlayer og Apples QuickTime. Begge sårbarhetene, som egentlig ikke har noe med hverandre å gjøre, gjør det mulig for en inntrenger å kjøre ødeleggende kode på offerets datamaskin.
Sårbarheten i RealPlayer har sammenheng med hvordan programmet håndterer grafikkfiler av typen PNG (Portable Network Graphics), og berører følgende RealPlayer-utgaver:
RealOne Player, RealOne Player v2 for Windows, RealPlayer 8 for Windows, RealPlayer 8 for Mac OS 9, RealOne Player for Mac OS X, RealOne Enterprise Desktop Manager og RealOne Enterprise Desktop. Helix DNA-klienten er derimot ikke berørt.
Mer om sikkerhetshullet og instrukser for oppdateringer finnes på denne siden hos RealNetworks.
RealNetworks oppgir at selskapet ikke kjenner til noen som er blitt angrepet på grunn av dette sikkerhetshullet.
Men også Apples QuickTime Player er sårbar, det vil si på maskiner med Windows, men ikke Macintosh-maskiner.
Sårbarheten i QuickTime er en vanlig bufferoverflytsfeil som oppstår når applikasjonen oversvømmes med informasjon, slik at den ikke greier å håndtere minnet riktig. Ved å få en slik situasjon til å oppstå, kan en inntrenger legge igjen sin egen kode inn i eksekveringen av QuickTime.
QuickTime-sårbarheten, som ble oppdaget av sikkerhetsselskapet iDefense, gjør at applikasjonen flyter over når den må håndtere URL-er med 400 tegn. Alt som skal til for å utløse sårbarheten er altså at brukeren klikker på en lenke av denne typen.
Ifølge iDefense er det QuickTime Player versjon 5.x og 6.0 for Windows som er sårbare.
Den beste løsningen er å oppdatere til QuickTime Player 6.1, hvor sårbarheten er fjernet. Du kan laste ned oppdateringen fra denne siden hos Apple.