Ευπάθεια σε δημοφιλείς media players τους εκθέτει σε επίθεση με κακόβουλο αρχείο υποτίτλων

[nnn]

Σύμφωνα με την εταιρία ασφαλείας Checkpoint, μια ευπάθεια σε δημοφιλείς media players, εκθέτει τους χρήστες τους σε κίνδυνο με χρήση κακόβουλου αρχείου υποτίτλων. Ένας επιτιθέμενος μπορεί να αποκτήσει πλήρη έλεγχο μιας συσκευής και εκτιμήσεις θέλουν τουλάχιστον 200 εκατομμύρια χρήστες σε κίνδυνο.

Όπως αναφέρει η εταιρία:

Our research reveals a new possible attack vector, using a completely overlooked technique in which the cyberattack is delivered when movie subtitles are loaded by the user’s media player. These subtitles repositories are, in practice, treated as a trusted source by the user or media player; our research also reveals that those repositories can be manipulated and be made to award the attacker’s malicious subtitles a high score, which results in those specific subtitles being served to the user. This method requires little or no deliberate action on the part of the user, making it all the more dangerous.

Unlike traditional attack vectors, which security firms and users are widely aware of, movie subtitles are perceived as nothing more than benign text files.

Οι ευπαθείς media players είναι οι :

• PopcornTime– Created a Fixed version, however, it is not yet available to download on the official website. The fixed version can be manually downloaded here.
• Kodi– Created a fix version, which is currently only available as source code release. This version is not yet available to download in the official site. Link to the source code fix is available here.
• VLC– Officially fixed and available to download on their website
• Stremio– Officially Fixed and available to download on their website

Συστήνεται στους χρήστες τους, η άμεση αναβάθμιση τους. Στο video, η ευπάθεια σε δράση.



Πηγή : Gizmodo

[asmatiop]

Φοβερό το βίντεο για το πόσο εύκολα και απλά κάποιος αποκτά πλήρη έλεγχο του Η/Υ μας.

[tzelen]

Τελικά δεν μπορείς να ξέρεις από που θα σου έρθει.

[cranky]

Στο βίντεο αναφέρονται popcorn time και kodi.
Αφορά, δηλαδή, μόνο on line / streaming θέαση ;

[Hetfield]

Οχι. Ο κωδικας γινεται injected απο τους υποτιτλους που ανοιγει κερκοπορτα στο θυμα.
Λιγο πολυ ολοι μας χρησιμοποιουμε auto-fetching για τους υποτιτλους χωρις να γνωριζουμε αν περιεχουν κακοβουλες εντολες.
Δεν μου κανει εντυπωση παντως, το να εκτελειται κωδικας απο τους υποτιτλους ειναι απαραδεκτο.

[DVader]

Οχι. Ο κωδικας γινεται injected απο τους υποτιτλους που ανοιγει κερκοπορτα στο θυμα.
Λιγο πολυ ολοι μας χρησιμοποιουμε auto-fetching για τους υποτιτλους χωρις να γνωριζουμε αν περιεχουν κακοβουλες εντολες.
Δεν μου κανει εντυπωση παντως, το να εκτελειται κωδικας απο τους υποτιτλους ειναι απαραδεκτο.

Αρχικά το θεωρώ απαράδεκτο να εκτελείται κακόβουλος κώδικας ..στο συγκεκριμένο σημείο αλλά χωρίς να ξέρω τον κώδικα δεν μπορώ να εκφέρω άποψη τεχνική αν μπορούσε να γραφτεί αλλιώς... Η απορία μου εμένα έχει να κάνει με το level του λογαριασμού ... Αν αυτός είναι απλός χρήστης και όχι admin θα παίξει ...άραγε...

Ελπίζω πάντως να καταλαβαίνουν κάποιοι ότι το access δεν είναι τίτλος .... ευγενείας.....και πρέπει να χρησιμοποιείται με σύνεση !

[minas]

Στο βίντεο αναφέρονται popcorn time και kodi.
Αφορά, δηλαδή, μόνο on line / streaming θέαση ;

Δεν παίζει ρόλο πού βρίσκεται η ταινία, όλο το payload είναι στους υποτίτλους.
Το πιο συνηθισμένο σενάριο επίθεσης είναι αυτό που έχεις βάλει αυτόματο κατέβασμα υποτίτλων και ο πιο δημοφιλής είναι κακόβουλο αρχείο.

Δεν είναι σαφές τί γίνεται εάν ένα κατεβασμένο αρχείο υποτίτλων είναι κακόβουλο (ή εάν μπορεί να μεταμφιεστεί ως κανονικό), και επίσης τί γίνεται με non-windows εκδόσεις των ίδιων εφαρμογών.

[cranky]

Δεν είναι σαφές τί γίνεται εάν ένα κατεβασμένο αρχείο υποτίτλων είναι κακόβουλο (ή εάν μπορεί να μεταμφιεστεί ως κανονικό) ...

Δεν θα πρέπει τα antimalware προγράμματα, να προειδοποιούν ;
Ή, είναι αόρατο και σ' αυτά ;

[Mirmidon]

Μούφα είναι και τo video δε δείχνει τίποτα. Μπορώ και εγώ κάλλιστα να φτιάξω video που σου δείχνει και καλά ότι σου παίρνω τον έλεγχο του υπολογιστή σου οτιδήποτε και να κάνεις που χρειάζεται internet. "Ο φόβος φιλάει τα έρημα" λένε στο χωριό μου. Βλέπει το video κάθε άσχετος το πιστεύει και σταματάει τις πειρατικές ταινίες.Σκοπός εξετελέσθει. Ένεκα το ότι ειναι αδύνατον να σταματήσουν την πειρατεία εξ αρχής διαδίδουν πράσιν' άλογα.

[DVader]

Μούφα είναι και τo video δε δείχνει τίποτα. Μπορώ και εγώ κάλλιστα να φτιάξω video που σου δείχνει και καλά ότι σου παίρνω τον έλεγχο του υπολογιστή σου οτιδήποτε και να κάνεις που χρειάζεται internet. "Ο φόβος φιλάει τα έρημα" λένε στο χωριό μου. Βλέπει το video κάθε άσχετος το πιστεύει και σταματάει τις πειρατικές ταινίες.Σκοπός εξετελέσθει. Ένεκα το ότι ειναι αδύνατον να σταματήσουν την πειρατεία εξ αρχής διαδίδουν πράσιν' άλογα.

Αν είναι μούφα τότε τι εκδόσεις βγάλανε τα kodi/popcorn ..?

[WAntilles]

Ας μας δείξουν σε τί συνίσταται το δήθεν vulnerability.

Κάποια ακολουθία χαρακτήρων;

Κάποια σπάνια ακολουθία utf8 χαρακτήρων; Επιτρεπτή μεν από το πρότυπο, αλλά σπάνια;

Συνδυασμός των παραπάνω, με κάτι που δεν κάνει ένας χρήστης που βαριέται; Π.χ. να σώσει ξανά και σωστά σε utf8 τον υπότιτλό του κόβοντας leading & trading spaces;

Διότι αν τα έκαναν όλα αυτά οι χρήστες, πέρναγαν τον υπότιτλό τους από έναν subtitle editor (π.χ. Subtitle Edit), και πριν και μετά (το Subtitle Edit) από έναν σοβαρό text editor (Notepad++), και μετά έπλεκαν τον υπότιτλό τους προβλεπέ στην ταινία τους με το mkvtoolnix-gui, τότε όλα αυτά δεν θα ήταν δυνατά.

Αλλά το ανίδεο πόπολο, βαριέται.

[MitsosLarissa]

Ας μας δείξουν σε τί συνίσταται το δήθεν vulnerability.

Κάποια ακολουθία χαρακτήρων;

Κάποια σπάνια ακολουθία utf8 χαρακτήρων; Επιτρεπτή μεν από το πρότυπο, αλλά σπάνια;

Συνδυασμός των παραπάνω, με κάτι που δεν κάνει ένας χρήστης που βαριέται; Π.χ. να σώσει ξανά και σωστά σε utf8 τον υπότιτλό του κόβοντας leading & trading spaces;

Διότι αν τα έκαναν όλα αυτά οι χρήστες, πέρναγαν τον υπότιτλό τους από έναν subtitle editor (π.χ. Subtitle Edit), και πριν και μετά (το Subtitle Edit) από έναν σοβαρό text editor (Notepad++), και μετά έπλεκαν τον υπότιτλό τους προβλεπέ στην ταινία τους με το mkvtoolnix-gui, τότε όλα αυτά δεν θα ήταν δυνατά.

Αλλά το ανίδεο πόπολο, βαριέται.

Πάνω κάτω και εγώ αυτό κάνω, αλλά κυρίως γιατί δεν έχω καμιά όρεξη εκεί που βλέπω την ταινία, να μου βγαίνουν "διαφημίσεις" τύπου "Διανομή υπότιτλων: www.greeksubtitles.com.gr", "Mετάφραση: Mitsos Mitsaras" ή κάτι εκνευριστικά χρωματάκια που βάζουν πολλοί στους υπότιτλους

[cnp5]

Για το kodi υπάρχει από 21/05/2017 update version για το θέμα (Kodi v17.2)

Βάζω και το quote απο το site τους για να υπογραμίσω ότι δε θα υπάρξει update ή fix σε ποιό παλιές εκδόσεις.

Security

You may have read in the news that malicious subtitle zip files could potentionally infect and harm your media player including Kodi. When Check Point researchers uncovered this flaw they contact us up front to less us know about this flaw. Our developers fixed this secuity gap and have added the fix to this v17.2 release. As such we highly encourage all users to install this latest version! Any previous Kodi version will not get any security patch. We have began the roll out of this version and Android Play Store as well as Windows Store have this update pending and will roll out as soon as possible. Please be patient if you are using these store versions. Our official download page of course has the regular install files available for the supported platforms.

[tzelen]

Ας μας δείξουν σε τί συνίσταται το δήθεν vulnerability.

Κάποια ακολουθία χαρακτήρων;

Κάποια σπάνια ακολουθία utf8 χαρακτήρων; Επιτρεπτή μεν από το πρότυπο, αλλά σπάνια;

Συνδυασμός των παραπάνω, με κάτι που δεν κάνει ένας χρήστης που βαριέται; Π.χ. να σώσει ξανά και σωστά σε utf8 τον υπότιτλό του κόβοντας leading & trading spaces;

Διότι αν τα έκαναν όλα αυτά οι χρήστες, πέρναγαν τον υπότιτλό τους από έναν subtitle editor (π.χ. Subtitle Edit), και πριν και μετά (το Subtitle Edit) από έναν σοβαρό text editor (Notepad++), και μετά έπλεκαν τον υπότιτλό τους προβλεπέ στην ταινία τους με το mkvtoolnix-gui, τότε όλα αυτά δεν θα ήταν δυνατά.

Αλλά το ανίδεο πόπολο, βαριέται.

Είναι πιο απλό να μάθεις αγγλικά - και να μην χρειάζεσαι υπότιτλους - παρά να κάτσεις να κάνεις όλη αυτή την παπάτζα.

Από την άλλη, για να κάτσεις να κάνεις περάσεις υπότιτλους, την ταινία στην έφερε ο θείος και όχι αγορασμένο dvd/BRD, που θα τους είχε έτοιμους

[sdikr]

Ας μας δείξουν σε τί συνίσταται το δήθεν vulnerability.

Κάποια ακολουθία χαρακτήρων;

Κάποια σπάνια ακολουθία utf8 χαρακτήρων; Επιτρεπτή μεν από το πρότυπο, αλλά σπάνια;

Συνδυασμός των παραπάνω, με κάτι που δεν κάνει ένας χρήστης που βαριέται; Π.χ. να σώσει ξανά και σωστά σε utf8 τον υπότιτλό του κόβοντας leading & trading spaces;

Διότι αν τα έκαναν όλα αυτά οι χρήστες, πέρναγαν τον υπότιτλό τους από έναν subtitle editor (π.χ. Subtitle Edit), και πριν και μετά (το Subtitle Edit) από έναν σοβαρό text editor (Notepad++), και μετά έπλεκαν τον υπότιτλό τους προβλεπέ στην ταινία τους με το mkvtoolnix-gui, τότε όλα αυτά δεν θα ήταν δυνατά.

Αλλά το ανίδεο πόπολο, βαριέται.

Μπορεί κάποιοι να έχουν καλύτερα πράγματα να κάνουν απο το να παίζουν με text editors