| 24 мая 2017 г. — 7:11 PT
Исследователи безопасности обнаружили неожиданный новый способ, которым злоумышленники могут получить контроль над компьютером: вредоносные субтитры. Уязвимость не зависит от устройства, что означает, что ее можно использовать для получения контроля над чем угодно, от iPhone до Mac.
Уязвимость была обнаружена Check Point, которая описывает ее как значительный риск.
Исследователи Check Point выявили новый вектор атаки, угрожающий миллионам пользователей по всему миру – атака с помощью субтитров. Создавая вредоносные файлы субтитров, которые затем загружаются медиаплеером жертвы, злоумышленники могут получить полный контроль над любым типом устройства через уязвимости, обнаруженные во многих популярных стриминговых платформах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io. По нашим оценкам, существует около 200 миллионов видеоплееров и стримеров, использующих в настоящее время уязвимое программное обеспечение, что делает эту уязвимость одной из самых распространенных, легкодоступных и не требующих усилий для эксплуатации за последние годы.
Нет никаких доказательств того, что этот вектор атаки уже используется активно, но теперь, когда возможность раскрыта, вероятно, лишь вопрос времени, когда злоумышленники разберутся в деталях и начнут его использовать.
Check Point заявил, что уязвимый код был найден во многих основных медиаплеерах, включая VLC, Kodi, Stremio и PopcornTime. Исправления доступны для всех, кроме Kodi, где исходный код исправлен, но версия для выполнения еще не доступна.
- PopcornTime – Создана исправленная версия, однако она еще недоступна для скачивания на официальном сайте.
Исправленную версию можно скачать вручную по следующей ссылке: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249 - Kodi – Создана исправленная версия, которая в настоящее время доступна только как выпуск исходного кода. Эта версия еще не доступна для скачивания на официальном сайте.
Ссылка на исправление исходного кода доступна здесь: https://github.com/xbmc/xbmc/pull/12024 - VLC – Официально исправлен и доступен для скачивания на их веб-сайте
Ссылка: http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe - Stremio – Официально исправлен и доступен для скачивания на их веб-сайте
Ссылка: https://www.strem.io/
Компания подготовила proof of concept на базе компьютера с Windows, но подчеркивает, что уязвимы все устройства. Хотя вредоносное ПО остается относительно небольшой проблемой для пользователей Apple, это риск, который нельзя полностью игнорировать.