PDA

View Full Version : QuickTime và RealPlayer đồng loạt vá lỗi



ngocdiep
29-10-2004, 20:55
TTO - Hai trong ba chương trình chơi media nổi tiếng nhất trên thị trường đã bị phát hiện có một số lỗi bảo mật nghiêm trọng có thể tạo điều kiện cho hacker đoạt quyền sử dụng máy tính từ xa.

Cả 2 chương trình QuickTime của Apple lẫn RealPlayer của RealNetwork đều đã được vá lỗi bảo mật trong tuần này. Real phải “hàn gắn vết thương” khi người dùng thay đổi các file hình ảnh trên giao diện, còn Apple phải vá 1 lỗ hổng trong chương trình QuichTime.

Hai ứng dụng trên đồng hành với chương trình Windows Media Player của Microsoft được xem như là 3 ứng dụng thống soái trong thị trường phần mềm chơi media. Cả 2 ứng dụng media của Real và Apple chạy trên Windows đều có những lỗi bảo mật cho phép hacker cấy những đoạn mã hiểm vào các máy tính để bàn có tác dụng dẫn hướng người dùng đến những trang web có tính lừa đảo.

Hôm 27-10, Apple đã cho ra bản cập nhập dành cho phiên bản QuickTime 6.5.2 cũng như các phiên bản trước đó, bản cập nhật này dùng để sửa lỗi tràn bộ đệm có thể được các hacker lợi dụng để tấn công các trang web HTML.

Công ty Next Generation Security Software có trụ sở tại Anh đã phát hiện ra lỗ hổng bảo mật này cho biết công ty sẽ “giấu” các đặc trưng của lỗi này trong 3 tháng để đủ thời gian cho người dùng cập nhật bản vá lỗi. Apple cho biết lỗi bảo mật này ảnh hưởng đến các hệ điều hành của Windows như XP, 2000, ME và 98.

Cùng lúc, Apple cũng vá các lỗi trong chương trình QuickTime đời cũ trên Windows, các lỗi này có thể cho phép các kẻ tấn công cấy các đoạn mã phá hoại vào các tập tin ảnh bitmap. Còn bản vá lỗi thứ 3 có tác dụng sửa các lỗi bảo mật nhẹ hơn dành cho các máy để bàn điều khiển từ xa của Apple.

Cũng trong cùng một thời điểm, chuyên gia John Heasman của công ty Next Generation Security và Yuji Ukai của công ty eEye Digital Security công bố đã phát hiện ra một lỗi bảo mật trong chương trình RealPlayer chạy trên Windows có thể cho phép thực hiện các đoạn mã nguy hiểm khi người dùng giải nén các file trang trí bề mặt cho RealPlayer.

Hôm 26-10 RealNetworks đã vá lại lỗi này, đây cũng là một lỗi tràn bộ đệm trong thư viện liên kết động dunzip32.dll được RealPlayer cùng để giải nén các file bề mặt giao diện.

Một kẻ tấn công nào đó có thể “gài” cho chương trình tự động tải về và cài đặt kiểu file dạng .rjs thông qua một trình duyệt web nào nó mà người dùng hoàn toàn không biết, sau đó hắn ta sẽ dùng thư viện liên kết động dunzip32.dll để kích hoạt các đoạn mã nguy hiểm vào máy tính.

Lỗi bảo mật này ảnh hưởng đến các phiên bản RealPlayer chạy trên Windows như: RealPlayer 10.5 (6.0.12.1053 hoặc trước đó), RealPlayer 10, RealOne Player versions 1 và 2.

HOÀNG HẢI (Theo Techworld)
http://www.tuoitre.com.vn/Tianyon/Index.aspx?ArticleID=53623&ChannelID=16