資料結構
網路
RDBMS
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究警告!觀看電影時,字幕檔案可能入侵裝置
字幕檔案允許駭客讀取您的資訊。這些檔案針對惡意軟體攻擊,被用於控制裝置,例如(智慧電視、電腦和移動裝置)。Check Point 研究人員發現了此漏洞。
人們通常希望觀看翻譯電影的字幕。然而,駭客正在利用這一點,以一種令人震驚的方式利用觀看者。
Check Point 團隊在四個最常用的媒體播放器應用程式中發現了此漏洞,駭客可以透過 PC、智慧電視或移動裝置中字幕中插入的程式碼,透過漏洞訪問觀看者的裝置。
以下是 2 億臺裝置下載的易受攻擊的媒體播放器。
Stremio – 電視劇、電影片道、影片、電影和影片流應用程式。
Kodi – 開源媒體播放器軟體。
Popcorn Time – 立即觀看電影和電視劇的應用程式。
VLC 播放器 – 一款非常流行且使用最廣泛的 VideoLan 媒體播放器。
“我們現在發現了惡意字幕,這些字幕可以自動建立並傳遞到數百萬臺裝置,繞過安全軟體,並使攻擊者完全控制受感染的裝置及其儲存的資料,”CheckPoint 研究人員表示。
這些漏洞存在於各種媒體播放器中,即用於傳播到個人電腦的字幕檔案,這些檔案可能危害數億臺電腦,使其面臨被攻擊者入侵的風險。
實際發生了什麼?
一旦媒體播放器讀取惡意字幕,就會在顯示屏上顯示實際的字幕,但這也會授予我們觀看字幕的裝置(智慧電視、電腦和移動裝置)完全控制權限。
字幕惡意軟體如何在裝置上執行
由於世界上有如此多的字幕共享儲存庫,例如 Opensubtitles、Super_subtitiles、XBMC_Subtitles,它們對電影字幕進行排名和索引,因為某些媒體播放器會自動下載字幕,因此攻擊者有可能將惡意程式碼注入字幕中。這允許駭客完全控制字幕供應,無需任何中間人攻擊或使用者互動,這也適用於從儲存庫下載字幕的使用者。
如何修復此字幕駭客攻擊
Checkpoint 研究人員聯絡了媒體播放器開發人員,告知他們在其軟體中發現的漏洞,這些漏洞大多在 2017 年 4 月釋出。
例如,在 VLC 中,攻擊者可以利用記憶體損壞漏洞。
VLC 媒體播放器存在四個漏洞(CVE-2017-8310、CVE-2017-8311、CVE-2017-8312 和 CVE-2017-8313),VideoLan 已修復這些漏洞。
已開發出修復程式,並隨最新版本 2.2.5.1 在 VLC 儲存庫中提供。
Kodi 17.2 已釋出修復程式。
要手動下載修復程式,您可以使用以下連結
- PopcornTime −
- Kodi − https://kodi.tv/download.
- VLC −.
- Stremio − https://www.strem.io/.
144 次瀏覽
