2007년 10월 23일
RealPlayer playlist name stack buffer overflow
■ 설명
RealNetworks 사의 RealPlayer는 사용자들이 자신의 컴퓨터나 원격지에 있는 오디오/비디오를볼 수 있도록 해주는 멀티미디어 소프트웨어임. 이 제품에서Database Component로 제공되는 RealPlayer Database Component인 MPAMedia.dll은 내부적으로 재생목록 이름을 제어하는 과정에서 버퍼 오버플로우를 발생시킴. 특정한 재생목록 파일을 RealPlayer로 가져오기 위해 Ierpplug.dll을 제공하는 RealPlayer IERPCCtlActiveX 컨트롤을 사용함. 이것은 버퍼 오버플로우를 발생시킴. 현재 해당 ActiveX 컨트롤은 RealPlayer 버전 9부터 최신 버전까지 영향을 미침.
악의적인 해커는 특수하게 제작된 HTML 문서를 방문자들에게 보여줌으로써 원격에서 피해시스템의사용자 권한으로 시스템 상에서 임의의 코드를 실행할 수 있음.
■ 영향
RealPlayer 버전 9부터 최신 버전
■ 해결책
RealNetworks사에서 제공하는 Update 설치
http://service.real.com/realplayer/security/191007_player/en/
IERPCCtl ActiveX 컨트롤 사용을 중지
{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5} CLSID를 가진 키를 제거함.
인터넷 환경에서 ActiveX를 사용하지 않음.
■ 참고사이트
http://www.cert.org/tech_tips/securing_browser/#Internet_Explorer
http://service.real.com/realplayer/security/191007_player/en/
http://www.securityfocus.com/bid/26130
http://support.microsoft.com/kb/240797
============================================================================
대책부분에 보시면 ActiveX를 아예 사용하지 말라는 말이 있습니다. ^^ 확실하네요 ㅋ
해당 취약점은 이미 익스플로잇이 제작되어 사용되고 있다고 합니다. Trojan.Reapall이라는 트로이목마가 이 취약점을 이용한 익스플로잇을 사용하며 결과적으로 Trojan.Zonebac 이라고 명명된 트로이 목마를 전파하기 위한 용도로 사용되고 있다고 하네요. 하지만 국내에서는 크게 영향을 미치지 못할 듯 합니다. 뭐 여러가지 이유가 있겠지만 가장 큰 이유는 RealPlayer를 사용하는 유저들이 많이 않다는 것 아닐까요? @_@;;
추가: 이와 비슷한 취약점이 예전에도 있었다고 합니다.
Buffer Overflows in RealPlayer and HelixPlayer
# by | 2007/10/23 10:51 | 보안 | 트랙백 | 덧글(4)
Commented by 헐랭이 at 2007/10/23 11:30 
Commented by fullc0de at 2007/10/23 18:39 Commented by suban at 2007/10/24 04:37 
Commented by fullc0de at 2007/10/26 09:54 
