Vá lỗ hổng nghiêm trọng trong RealPlayer

Hãng RealNetworks ngày 20/4 đã ban hành miếng vá cho một lỗ hổng "nghiêm trọng" có trong hầu hết các phiên bản RealPlayer.

Lỗ hổng có thể cho phép tin tặc chạy mã nhị phân hoặc mã độc hại trên các máy tính cài đặt bản RealPlayer bị lỗi. Tuy nhiên, theo thông báo của RealNetworks, hãng vẫn chưa nhận được bất cứ báo cáo nào cho thấy lỗ hổng này đã bị khai thác.

Hãng bảo mật Secunia xếp lỗ hổng ở mức "cực kỳ nghiêm trọng" và yêu cầu người dùng cần phải nhanh chóng cập nhật bản nâng cấp.

Lỗ hổng thuộc loại lỗi tràn bộ nhớ heap(*), xảy ra khi phần mềm RealPlayer xử lý các file ".ram" có chứa biến "host" đặc biệt do tin tặc tạo ra. RealNetworks sử dụng định dạng ".ram" để nén file audio phát qua mạng Internet.

Theo thông báo của RealNetworks, lỗ hổng ảnh hưởng tới hầu hết các phiên bản RealPlayer và RealOne, thậm chí cả RealPlayer Enterprise - phiên bản RealPlayer danh cho doanh nghiệp.

Những phiên bản phần mềm ảnh hưởng bao gồm: RealPlayer 10.5, RealPlayer 10, RealONE Player v2, RealONE Player v1, RealPlayer 8, Mac RealPlayer 10, Mac RealONE Player, Linux RealPlayer 10 và Helix Player 10.

Người dùng có thể cập nhật bản nâng cấp cho RealPlayer thông qua chức năng "Check for Updates" (trong phần Tools) của chương trình.

(*) Trong lập trình, "heap" là một vùng bộ nhớ thông dụng được cấp phát cho các chương trình. Việc quản lý bộ nhớ heap có thể do bản thân ứng dụng, hoặc do hệ điều hành, hoặc do các chương trình hệ thống khác.