最新RealPlayer漏洞曝光

一、事件分析：
 
    　　近日，超级巡警团队监.测到一个RealPlayer高危漏洞被曝光。该漏洞发生在RealPlayer的一个activex控件上，当安装了 RealPlayer的用户在浏览黑客精心构造的包含恶意代码的网页后，将在后台下载木马病毒.并运行。目前国内尚未发现利用此漏洞的挂马行为。

影响版本：RealPlayer 11 Beta
RealPlayer 10.5

漏洞产生原因：
RealPlayer的MPAMedia.dll库所.提供的RealPlayer数据库组件在处理播放列表名时存在栈溢出漏洞，远程攻击者可能利 用此漏洞控制用户系统。由于可使用ierpplug.dll所提供的IERPCtl ActiveX控件将本地文件导入到RealPlayer中指定的播.放列表，因此如果用户受骗访问了恶意网页并导入了恶意文件的话，就可以触发这个溢出， 导致拒绝服务或执行任意指令。

 
二、解决方案
     1，Real官方在漏.洞曝光24小时内发布了补丁，补丁下载地址：
     http://service.real.com/realplayer/security/191007_player/en/securitydb.rnx
感谢网友7jdg提供poc。
关于 RealPlayer： 一款流行的媒体播放器，支持多种媒体格式。