Vulnerabilidad en RealPlayer permite ejecución de código
La semana pasada se alertaba de una vulnerabilidad en RealPlayer que era descubierta de la “peor” forma posible: A través de un exploit funcional.
El fallo estaba siendo aprovechado para ejecutar código sin que oficialmente se tuviera constancia de su existencia.
El día 18 de octubre se daba la voz de alarma. RealPlayer en todas sus versiones y RealOne Player eran vulnerables a un problema desconocido hasta el momento y del que existía exploit. El código para explotar el fallo también era desconocido hasta el momento. El problema se daba en el control ActiveX del reproductor (ierpplug.dll), por tanto se limitaba a los usuarios de Internet Explorer bajo Windows. Esto permitía comprometer el sistema con sólo visitar con Internet Explorer una página web especialmente manipulada, con permisos de administrador, y sin necesidad de que el reproductor estuviese funcionando en el momento.
RealPlayer sufrió de un problema de denegación de servicio a finales de 2006. Al parecer, los atacantes podrían haber estudiado con más detalle el problema y conseguir no solo hacer que el programa dejase de funcionar, sino ejecutar código. Varias webs comprometidas o construidas expresamente estaban ya aprovechando el fallo para infectar sistemas. No se sabe durante cuánto tiempo han conocido este problema y han explotado sus posibilidades.
El código que aprovechaba de forma automática la vulnerabilidad para ejecutar código ya tiene nombre, que varía según cada casa antivirus, pero la mayoría es capaz de detectarlo y lo han ido añadiendo a sus firmas durante el fin de semana. Como viene siendo habitual en el malware, una vez se conseguía ejecutar código, éste se descargaba otro componente vírico desde un servidor.
De manera ejemplar, RealNetworks, la compañía detrás del popular reproductor, lanzó un parche apenas 24 horas después de darse a conocer la existencia de la grave vulnerabilidad. El enlace actualiza la librería MPAMedia.dll.