Субтитры к видеофайлу могут предостовить доступ для управления удаленным ПК

0

1

A vulnerability in how video players load and parse subtitle files allows an attacker to execute code on a target's PC and effectively take over the device. This vulnerability came to light today after security researchers from Israeli cyber-security firm Check Point published partial findings.
Researchers say that an attacker can craft malicious subtitle files that when loaded inside one of the many vulnerable media players, it executes code on the user's device.
In a YouTube video, Check Point researchers demoed the attack and showed how this previously unknown vulnerability grants an attacker full control over the affected computer.

https://www.bleepingcomputer.com/news/security/malicious-movie-subtitles-can-...

http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

Демонстрация уязвимости — https://www.youtube.com/watch?v=vYT_EGty_6A

Подвержены уязвимости: VLC, Kodi, PopcornTime, Stremio

Ссылка

←	wifi и имя точки доступа

IPTables в Debian, или непонятненький парадокс

→

1984

https://mobile.twitter.com/hackerfantastic/status/867286847533318145/photo/1

atsym ★★★★★
(24.05.17 11:50:02 MSK) автор топика

Ссылка

Мплеерогоспода > VLC-холопы.

~~entefeed~~ ☆☆☆
(24.05.17 11:52:05 MSK)

Ответ на: комментарий от entefeed 24.05.17 11:52:05 MSK

VLC and PopcornTime have already issued updates to address this flaw

И в mplayer тоже были уязвимости.

Vsevolod-linuxoid ★★★★★
(24.05.17 12:16:25 MSK)

Ссылка

Ой.

A vulnerability in how video players load and parse subtitle files

Да никакой не «video players», а только some.

and showed how this previously unknown vulnerability grants an attacker full control over the affected computer.

Да никакой не «full».

gag ★★★★★
(24.05.17 13:06:11 MSK)

Ссылка

Хрень какая-то, сильно смахивающая на запугивание хомячков то ли ради своего пиара то ли для ещё более мерзких целей. Без примера уязвимого кода в парсерах субтитров это идёт лесом.

Демонстрация уязвимости

Это не демонстрация уязвимости, это видосик.

~~redgremlin~~ ★★★★★
(24.05.17 13:13:49 MSK)

Ссылка

Будет очень смешно, если уязвимость окажется в libass (для Ъ - библиотека для работы с субтитрами)

Harald ★★★★★
(24.05.17 13:19:06 MSK)

Ответ на: комментарий от Harald 24.05.17 13:19:06 MSK

Будет очень смешно, если уязвимость окажется в libass (для Ъ - библиотека для работы с субтитрами)

Ну не знаю, на опеннете говорят что судя по патчу в Kodi — libass вроде непричем

http://mobile.opennet.ru/openforum/vsluhforumID3/111313.html#8

Ошибка в libass что ли? Она не только в VLC, но и в ffmpeg используется, который... используется в Firefox. Да тут вся система под угрозой!

Ванга в треде? Судя по патчу, libass тут никаким боком

atsym ★★★★★
(24.05.17 16:33:49 MSK) автор топика

Ссылка

MPV не подвержен? Значит можно спать спокойно.

И в VLC уже пофикшено. Остальные три перечисленных вообще впервые слышу.

~~Psych218~~ ★★★★★
(24.05.17 16:34:53 MSK)
Последнее исправление: Psych218 24.05.17 16:37:23 MSK (всего исправлений: 2)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	wifi и имя точки доступа

Security

IPTables в Debian, или непонятненький парадокс

→

1984

Похожие темы