Bản sửa lỗi của RealPlayer không có tác dụng

Hôm qua, hãng Real Networks đã phát hành miếng vá để bít 3 lỗ thủng của chương trình nghe nhạc RealOne và RealPlayer, cho phép tin tặc chạy các chương trình chết người trên máy tính của nạn nhân. Tuy nhiên, bản sửa lỗi không những không khắc phục được sự cố mà còn xoá mất website của công ty.

Lỗi thứ nhất xảy ra khi một người sử dụng kích chuột vào đường link dẫn tới file SMIL (synchronized multimedia integration language). Phần mềm Real sẽ tập trung tự động tải file về và cho phép người dùng thưởng thức nội dung đó. Nhưng nếu một tin tặc sử dụng một tham số quá dài trong file SMIL, thì nó có thể gây tràn bộ nhớ trong file Realplay.exe.

Khiếm khuyết thứ hai là khi một người sử dụng cố tải và chơi một file với tham số tên file quá dài. Khi người dùng xem file đó, sẽ xảy ra lỗi tràn bộ nhớ.

Vấn đề thứ ba nằm trong cách các chương trình xử lý những tên file quá dài. Nếu người sử dụng tải một file như trên và kích chuột vào trường "Now Playing" và chọn "Edit clip info" hoặc "Select copy to my library", nó cũng sẽ gây tràn như vậy.

Chuyên gia Mark Litchfield của Công ty phần mềm bảo mật NGSS - người phát hiện những khiếm khuyết này - cho biết một tin tặc có thể khai thác những lỗi trên để chạy các đoạn mã nguy hiểm trên máy tính của người dùng.

Hôm qua, Real Networks đã đưa bản tư vấn và miếng vá, khuyến cáo người dùng tải về từ trang web của hãng. Tuy nhiên, sau khi thử, Litchfield phát hiện chương trình này đã không khắc phục được những vấn đề trên.

Công ty Real Networks đang nghiên cứu để đưa ra bản sửa lỗi khác. Chương trình này có thể xuất hiện vào đầu tuần tới.

Minh Nghĩa (theo EW)