Fonte dell’immagine: VLC
Martedì, sicurezza, società di ricerche di Checkpoint ha annunciato che il suo team ha scoperto una nuova vulnerabilità in numerosi lettori multimediali che consente a un hacker di prendere il pieno controllo di qualsiasi dispositivo quando un dannoso file dei sottotitoli è utilizzato. L’azienda stime 200 milioni di persone potenzialmente a rischio.
In WannaCry s Wake, un Nuovo Rapidamente Diffondendo Ransomware Attacco Apparso Oggi
Una settimana dopo WannaCry indotta panico in tutto il mondo, un altro ransomware vizioso attacco è attualmente…
Leggi di più
Dal Checkpoint di avviso:
La nostra ricerca rivela un nuovo possibile vettore di attacco, utilizzando una completamente trascurato tecnica in cui l’attacco viene consegnato quando i sottotitoli sono caricati dall’utente, e media player. Questi sottotitoli repository, in pratica, sono trattati come una fonte attendibile dall’utente o media player; la nostra ricerca rivela, inoltre, che coloro i repository può essere manipolato e fatto di aggiudicazione dell’attaccante dannoso sottotitoli un punteggio alto, che si traduce in quelli specifici per i sottotitoli di essere servito per l’utente. Questo metodo richiede poca o nessuna azione deliberata da parte dell’utente, che rende ancora più pericoloso.
A differenza dei tradizionali vettori di attacco, che le imprese di sicurezza e gli utenti sono ampiamente a conoscenza, sottotitoli di film, sono percepiti come niente di più che benigna file di testo.
Per essere chiari, se si utilizza un lettore multimediale per guardare una copia legittima di un film che ha già i sottotitoli, probabilmente stai proprio bene. Ma se per qualsiasi motivo avete visitato uno dei numerosi siti web che permettono di scaricare i sottotitoli per i film in varie lingue, si potrebbe essere a rischio. La gente scarica questi file per molte ragioni, non solo per scopi di pirateria. C’è una fiorente comunità di persone che traducono film di dialogo per il bene di tutti, ma, purtroppo, ci potrebbero essere alcuni cattivi attori.
Qui sono i media, i giocatori che sono interessati e come aggiornare:
PopcornTimeCreato una versione Fissa, tuttavia, non è ancora disponibile per il download sul sito ufficiale. La versione fissa può essere scaricato qui.
KodiCreato una versione di correzione, che è attualmente disponibile solo come rilascio del codice sorgente. Questa versione non è ancora disponibile per il download sul sito ufficiale. Link al codice sorgente fix è disponibile qui.
VLC– Ufficialmente fisso e disponibile per il download sul loro sito web
StremioUfficialmente Fisso e disponibile per il download sul loro sito web
I ricercatori hanno anche scoperto che è estremamente facile da manipolare l’algoritmo di un sito come OpenSubtitles.org al fine di garantire che un file dannoso al top dei risultati di ricerca.
Ottenere a l’aggiornamento.
Ecco un video di dimostrazione della vulnerabilità in azione:
[Checkpoint via Hacker News]