蓝光光盘在电脑上安装恶意软件
作者:星期二, 三月 3, 20150

0_副本

当你在电脑中插入光盘影碟时,光盘会检测播放器的类型,然后选择合适的恶意软件安装到电脑中。这就是英国一位安全研究人员最近的研究成果。

上周五在苏格兰一所大学召开的安全会议上,斯蒂芬·汤姆金森介绍了这种通过蓝光(Blu-Ray)光盘进行入侵的方法。

PowerDVD是广为流行的光盘播放器,预装在很多主流厂商的计算机上。包括惠普、戴尔、宏基、联想、东芝和华硕。而蓝光光碟支持丰富的内容,包括使用蓝光Java(BD-J)制作的动态菜单和嵌入式游戏。BD-J则使用小型应用,如xlets,实现与用户的交互。

显而易见,xlets应该被禁止访问计算机操作系统和文件系统的。但汤姆金森发现PowerDVD中的一个漏洞允许他绕过沙盒,从而执行恶意程序。

还有一个漏洞则存在于蓝光播放器的硬件当中,这是一个“相当小”的嵌入式系统,运行带有命令行BusyBox交互界面的Linux。汤姆金森使用另一位安全人员编写的漏洞利用程序,可以获得蓝光播放器的root访问权限。然后编写一段xlet,诱使ipcc客户端在本地运行,以启动光盘上的恶意软件。

为了简化攻击,汤姆金森让光盘主动检测播放器的类似,以决定使用哪一种攻击方法,并且光盘还被设定为,先运行漏洞利用程序然后再播放光盘中的正常内容。

汤姆金森表示已经就此问题通知到厂商,但厂商并没有给予明确的答复。在问题解决之前,他给出了以下防范方法:

不播放来历不明的蓝光光盘,同时禁止光盘的自动播放功能;

禁止光盘播放器连接到互联网。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!