N/A

RealJukebox 2 1.0.2.340 and 1.0.2.379, and RealOne Player Gold 6.0.10.505, allows remote attackers to execute arbitrary script in the Local computer zone by inserting the script into the skin.ini file of an RJS archive, then referencing skin.ini from a web page after it has been extracted, which is parsed as HTML by Internet Explorer or other Microsoft-based web readers.

N/A

N/A

Real Networks RealJukebox远程可预测文件展开位置漏洞

RealJukebox是一款由Real Networks公司开发的拥有强大功能的媒体播放器，支持外壳更换。 RealJukebox在打开外壳文件时，使用了可预测位置进行文件展开，远程攻击者可以利用这个漏洞放置任意文件到预测位置，并利用其他漏洞进行攻击。 RealJukebox在展开外壳文件时，一般选择安装在可预测的c:\Program Files\Real\RealJukebox\temp\~rjbtemp0\目录中，其中'~'为序列号，使用包含恶意内容的skin.ini文件，建立包含"file://"连

N/A

N/A