RealNetworks的补丁不能修复其媒体播放器的漏洞

来源：yesky 作者：出处：巧巧读书 2005-12-08 进入讨论组

　　RealNetworks Security发布了一个用于修复其媒体播放器的补丁，不过令人失望的是，该补丁是有缺陷的，它令成百万的用户面临被攻击的危险，这是一个安全研究员在周三发表的看法。

　　RealNetworks上个星期在它的网站发布了一个软件补丁，是用来修复Windows版本的RealOne Player 和RealPlayer的三个安全漏洞的。通过让用户下载一个修改过的文件，一个攻击者可以掌管运行该媒体播放器的电脑，上个星期RealNetworks的一个安全顾问在它的网站上发表了这个信息。

　　不过该软件补丁“并没有工作”，Mark Litchfield说，他是英国Sutton的Next Generation Security Software的一个安全研究员，是他发现了这个缺陷。

　　只要将攻击的软件稍微改一下，仍然有可能导致缓冲区溢出，Litchfield说。他对RealNetworks提出这个警告，并且正在帮助Seattle公司来推出一个补丁来修补该安全漏洞，他说。

　　在一个缓冲区溢出中，一个攻击者可以使用程序中一个未检查的缓冲来载入他自己的代码到系统中，并且运行它。

　　周三，RealNetworks通过Email向Litchfield联系，并且确认Litchfield正在寻找一个新的安全补丁并且该新补丁将会在“不久后”发布。该公司说它对于缓冲区溢出是很重视的，不过它补充说Litchfield并不能解释恶意的企图怎样能够使用溢出缓冲区。

　　Litchfield预期RealNetworks将会在 "一到两天内" 发布一个升级的补丁。他已经测试过几个新的补丁，但全部都是有问题的。“昨晚发布的一个只有一个溢出，因此我希望他们可以在一到两天内推出一个最终的补丁”，Litchfield 说。

　　Litchfield说，最初的补丁并没有提供给Litchfield作测试，虽然在11月1日他告诉RealNetworks该漏洞时被告之会提供给他。保留：： http://www.qqread.com/itlife/e661151002.html