利用字幕获得远程控制权(含视频)
作者: 日期:2017年05月25日 阅:7,069

VLC、Kodi、Popcorn Time 和Stremio媒体播放软件暗藏漏洞

 

Check Point 的研究人员发现了影响多个流行媒体播放器的漏洞,漏洞根源来自播放器处理字幕的方式。一旦被利用,攻击者可获得受害系统的远程访问权。

据估测,近2亿视频播放器和流App使用了该脆弱软件。

Check Point 称,VLC、Kodi、Popcorn Time 和Stremio的带漏洞版本已经被下载了2.2亿次。攻击者所要做的,仅仅是开发出恶意字幕,然后通过这些视频播放器下载到用户系统中。

Check Point 解释道:“该攻击方法重度依赖各路媒体播放器处理字幕文件的不安全方式,以及字幕格式的多样性。首先,在用的字幕格式就超过了25种,每种都有其独特的特性和功能。”

媒体播放器通常需要解析多种字幕格式,以确保覆盖面和提供良好的用户体验,而这些媒体播放器的解析方法各异。与碎片化软件涉及的情况相似,这造成了大量各不相同的漏洞。

Check Point 发现,恶意字幕被开发出来后可能会被放到在线库中共享,比如OpenSubtitles.org。通过操作这些库的排名算法,攻击者的字幕被列为最佳选择,并被自动下载。

研究人员弄了个描述该攻击的概念验证视频,但出于谨慎考虑,并未放出更多细节。

Stremio和VLC已发布了各自的新版播放器来解决该漏洞。Kodi和 Popcorn Time 也修复了这些漏洞。

Check Point 在博客中表示:“我们有理由认为,其他媒体播放器中也有类似漏洞。我们遵从了负责任披露原则,向受影响媒体播放器的开发者报告了所有漏洞和漏洞利用程序。”

其中一些问题已经被修复,其他的还在调查过程中。为给开发者更多时间解决漏洞,我们决定暂时不公开进一步的信息。

要点:

  • 在标准系统镜像中部署了VLC或其他受影响播放器的IT团队,需要确保用户进行了更新; 
  • 漏洞集中在可能被恶意修改的字幕格式处理上。这些格式被媒体播放器所信任,且会被自动下载;
  • 被发现的漏洞影响VLC、Kodi、Popcorn Time 和Stremio。这些播放器全都已做更新;
  • 带漏洞的播放器版本已被下载2亿多次,Check Point 猜测可能有数百万用户处于风险之中;
  • Check Point 发布了概念验证视频,但谨慎起见保留了技术细节。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章