数据结构
网络
RDBMS
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究警告!观看电影时,字幕文件可能入侵设备
字幕文件允许黑客读取您的信息。这些文件针对恶意软件攻击,被用于控制设备,例如(智能电视、电脑和移动设备)。Check Point 研究人员发现了此漏洞。
人们通常希望观看翻译电影的字幕。然而,黑客正在利用这一点,以一种令人震惊的方式利用观看者。
Check Point 团队在四个最常用的媒体播放器应用程序中发现了此漏洞,黑客可以通过 PC、智能电视或移动设备中字幕中插入的代码,通过漏洞访问观看者的设备。
以下是 2 亿台设备下载的易受攻击的媒体播放器。
Stremio – 电视剧、电视频道、视频、电影和视频流应用程序。
Kodi – 开源媒体播放器软件。
Popcorn Time – 立即观看电影和电视剧的应用程序。
VLC 播放器 – 一款非常流行且使用最广泛的 VideoLan 媒体播放器。
“我们现在发现了恶意字幕,这些字幕可以自动创建并传递到数百万台设备,绕过安全软件,并使攻击者完全控制受感染的设备及其保存的数据,”CheckPoint 研究人员表示。
这些漏洞存在于各种媒体播放器中,即用于传播到个人电脑的字幕文件,这些文件可能危害数亿台电脑,使其面临被攻击者入侵的风险。
实际发生了什么?
一旦媒体播放器读取恶意字幕,就会在显示屏上显示实际的字幕,但这也会授予我们观看字幕的设备(智能电视、电脑和移动设备)完全控制权限。
字幕恶意软件如何在设备上运行
由于世界上有如此多的字幕共享存储库,例如 Opensubtitles、Super_subtitiles、XBMC_Subtitles,它们对电影字幕进行排名和索引,因为某些媒体播放器会自动下载字幕,因此攻击者有可能将恶意代码注入字幕中。这允许黑客完全控制字幕供应,无需任何中间人攻击或用户交互,这也适用于从存储库下载字幕的用户。
如何修复此字幕黑客攻击
Checkpoint 研究人员联系了媒体播放器开发人员,告知他们在其软件中发现的漏洞,这些漏洞大多在 2017 年 4 月发布。
例如,在 VLC 中,攻击者可以利用内存损坏漏洞。
VLC 媒体播放器存在四个漏洞(CVE-2017-8310、CVE-2017-8311、CVE-2017-8312 和 CVE-2017-8313),VideoLan 已修复这些漏洞。
已开发出修复程序,并随最新版本 2.2.5.1 在 VLC 存储库中提供。
Kodi 17.2 已发布修复程序。
要手动下载修复程序,您可以使用以下链接
- PopcornTime −
- Kodi − https://kodi.tv/download.
- VLC −.
- Stremio − https://www.strem.io/.
144 次浏览
