 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
| Référence : | CERT-IST/DG-2008.001 |
| Version : | 1.0 |
| Date de la version : | 07 Janvier 2008 |
|
|
Classification de la vulnérabilité
| Risque : |
|
||
| Conséquence : | Accès au système Interruption de service (déni de service partiel) |
||
| Niveau de confiance : | Faille officielle | ||
| Niveau de connaissance de l'attaquant : | Débutant | ||
| Moyen nécessaire à l'attaquant : | Accès distant (sans compte) sur un service standard | ||
|
|||
Information sur le(s) système(s) impacté(s)
| Plate(s)-forme(s) impactée(s) : |
|
| Logiciel(s) impacté(s) : |
|
| Liste des produits impactés |
Description
| Contexte de publication : |
|
| Le Cert-IST émet ce "DanGer potentiel" suite à la publication de deux "0 day" pour RealPlayer, ainsi qu'à l'exploitation massive d'une vulnérabilité connue et corrigée de RealPlayer. |
|
| Nature du problème : |
|
Plusieurs programme d'exploitation ont été publiés ces dernières semaines pour des vulnérabilités du lecteur multimédia RealPlayer :
Par ailleurs un javascript exploitant la première vulnérabilité (CERT-IST/AV-2007.493) a été découvert sur deux sites web, et un tag l'activant a été injecté sur de nombreux sites web. Le risque lié à cette menace reste faible tant que ce javascript exploite une vulnérabilité corrigée de RealPlayer mais il pourrait devenir élevé si ce programme malveillant était mis à jour pour exploiter une vulnérabilité non corrigée de RealPlayer. |
|
| Contexte technique : |
|
| "RealPlayer" (RealOne Player) est un lecteur multimédia développé par RealNetworks (real.com). |
|
| Analyse détaillée : |
|
| La vulnérabilité non corrigée décrite dans la faille en cour d'investigation FA-2007.0267 permet à un site web malveillant d'arrêter brutalement un lecteur RealPlayer vulnérable. Les deux autres vulnérabilités permettent à un site web malveillant d'exécuter du code arbitraire sur le système avec les privilèges de la victime. L'attaque en cours exploite la vulnérabilité corrigée de RealPlayer (CVE-2007-5601) décrite dans l'avis de sécurité CERT-IST/AV-2007.493. Elle est implémentée dans un javascript (nommé "0.js") découvert sur les sites web "uc8010 . com" et "ucmal . com". Un tag "script" pointant vers ces codes malicieux ont été trouvés sur de nombreux sites web, dont des sites gouvernementaux (.gov), des sites académiques (.edu), le site officiel de l'éditeur d'antivirus CA, ainsi que "MySpace". Nota : la syntaxe des URL a volontairement été altérée avec l'ajout d'espaces. |
|
Solution
01 - Appliquer les correctifs de RealNetworks concernant la vulnérabilité CVE-2007-5601 de RealPlayer
02 - Protection contre l'attaque
03 - Recommendation générale
|
|
Identifiant(s) du problème
|
|
Documentation additionnelle
|
|
Historique
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||