LINUX.ORG.RU

Субтитры к видеофайлу могут предостовить доступ для управления удаленным ПК

 , ,


0

1

A vulnerability in how video players load and parse subtitle files allows an attacker to execute code on a target's PC and effectively take over the device. This vulnerability came to light today after security researchers from Israeli cyber-security firm Check Point published partial findings.

Researchers say that an attacker can craft malicious subtitle files that when loaded inside one of the many vulnerable media players, it executes code on the user's device.

In a YouTube video, Check Point researchers demoed the attack and showed how this previously unknown vulnerability grants an attacker full control over the affected computer.

https://www.bleepingcomputer.com/news/security/malicious-movie-subtitles-can-...

http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

Демонстрация уязвимости — https://www.youtube.com/watch?v=vYT_EGty_6A

Подвержены уязвимости: VLC, Kodi, PopcornTime, Stremio

★★★★

Ой.

A vulnerability in how video players load and parse subtitle files

Да никакой не «video players», а только some.

and showed how this previously unknown vulnerability grants an attacker full control over the affected computer.

Да никакой не «full».

gag ★★★★★ ()

Хрень какая-то, сильно смахивающая на запугивание хомячков то ли ради своего пиара то ли для ещё более мерзких целей. Без примера уязвимого кода в парсерах субтитров это идёт лесом.

Демонстрация уязвимости

Это не демонстрация уязвимости, это видосик.

redgremlin ★★★★★ ()
Ответ на: комментарий от Harald

Будет очень смешно, если уязвимость окажется в libass (для Ъ - библиотека для работы с субтитрами)

Ну не знаю, на опеннете говорят что судя по патчу в Kodi — libass вроде непричем

http://mobile.opennet.ru/openforum/vsluhforumID3/111313.html#8

Ошибка в libass что ли? Она не только в VLC, но и в ffmpeg используется, который... используется в Firefox. Да тут вся система под угрозой!

Ванга в треде? Судя по патчу, libass тут никаким боком

atsym ★★★★ ()