Alerta de Seguridad :: Vulnerabilidad de RealPlayer - Octubre 2007 ============================================================================
===


FECHA: 22/10/2007

CRITICIDAD: ALTA


Productos Afectados
===================

RealOne Player 1.x
RealOne Player 2.x
RealPlayer 10.x
RealPlayer 11 Beta

Impacto
=======

Manipulación de datos, Ejecución de Código Malicioso, Denegación de servicio.

Descripción
===========

Se ha detectado una vulnerabilidad en distintas versiones de RealPlayer, lo cual afecta un componente ActiveX de dicho software. Esto permite a un atacante ejecutar código malicioso en el contexto de la aplicación utilizada con el control ActiveX (normalmente a través de Internet Explorer)



Mitigación, Solución y Recomendaciones
======================================

- El fabricante recomienda aplicar el parche respectivo para las versiones
10.5 y
11 Beta, adicionalmente para los usuarios de RealPlayer 10 y RealOne v1 y v2 realizar un upgrade a la versión 10.5, para luego aplicar el parche respectivo.
- Asegurar que los clientes de Microsoft Internet Explorer están configurados no permitiendo o confirmando la ejecución de Scripts ActiveX[2].
- Asegurar que los clientes de Outlook y Outlook Express están configurados para desplegar el correo entrante en formato de texto y que los correos en HTML sean abiertos en una zona segura[3].


Referencias
===========

[1] http://service.real.com/realplayer/security/191007_player/en/
[2] http://support.microsoft.com/kb/308446
[3] http://support.microsoft.com/kb/196799