作者mkz6 ( )
看板AntiVirus
标题Re: [情报] 恶意 SRT 字幕档漏洞
时间Fri May 26 19:01:27 2017
※ 引述《jmlntw (吉米林)》之铭言:
: Hacked in Translation - from Subtitles to Complete Takeover | Check Point
Blo
: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
: Beware! Subtitle Files Can Hack Your Computer While You're Enjoying Movies
: http://thehackernews.com/2017/05/movie-subtitles-malware.html
: 国外研究发现 VLC、Kodi(XBMC)、Popcorn Time、Stremio 有安全漏洞,
: 骇客可以透过一个恶意的 SRT 字幕档案入侵使用者的电脑。
: 实际 DEMO 影片:https://www.youtube.com/watch?v=vYT_EGty_6A
: 使用者在播放程式载入 SRT 字幕档之後,骇客就能完全操作受害者的电脑。
: 不过在专家通报这个漏洞之後,这些播放程式都已经做出修正。
: Stremio 出了 4.0 beta 版补洞、VLC 最近两周内会出 2.2.5 补洞、
: Kodi 预计在这周出 17.2 补洞、Popcorn Time 已经释出修正档。
: 建议有在使用这些播放软体的人最近多留意一下。
没有提到MPC-HC所以就查了一下
https://trac.mpc-hc.org/ticket/6169
No, MPC-HC doesn't allow overwriting arbitrary files when extracting files
from a downloaded ZIP file. It only extracts files with a valid subtitle file
extension.
不受影响,因为不会从ZIP载入非字幕档
跟ZIP有关??? 再查了一下
Kodi v17.2 修复说明:
https://goo.gl/CvSePP
‧Fix possible security flaw which could abused .zip files which try to
traverse to a parent directory
修复ZIP档案安全漏洞
才发现原PO被不清不楚的文章和影片误导了…
原文中malicious subtitle files并不是指SRT格式
而是含有字幕档的ZIP档案
利用拨放器漏洞执行ZIP内的恶意程式
这在原文和影片中完全没有提到
搞得一堆人以为是字幕档本身有问题 = =
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.116.86.145
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1495796490.A.107.html
1F:→ HELLDIVER: 就觉得很奇怪 SRT应该只是文字档 没有执行程式的作用 05/26 20:26
2F:推 TobyH4cker: 安安 kodi的漏洞是另一个 当然不同於字幕 05/26 21:12
你的意思是字幕档本身也有漏洞?
3F:推 ltyintw: 我还以为srt档里面可以加入URL参数,让播放器的字幕有特 05/26 22:03
4F:→ ltyintw: 让播放器可以从网路下载字幕特效 05/26 22:04
6F:→ ilanese: youtube上骇客利用字幕档来控制对方电脑的示范,但还是不 05/26 22:39
7F:→ ilanese: 清楚其真正原理为何? 05/26 22:39
这就原文的影片啊,
简单的执行Kodi选择字幕然後就被控制了,
完全没有提到是什麽类型的字幕…
Kodi v17.2 修复说明底下还有一段就是回应
Hacked in Translation
↖ 超连结该文
You may have read in the news that
malicious subtitle zip files could
potentionally infect and harm your media player including Kodi. When Check
Point researchers uncovered this flaw they contacted us up front to let us
know about this flaw. Our developers fixed this secuity gap and have added
the fix to this v17.2 release.
Kodi v17.3
https://goo.gl/A2NHyB 又追加了一段
To be clear this possible vunrability is only present when you first enable a
subtitle dowload add-on and then actually
download zipped subtitles. Any
subtitles that you already have as text file, are embedded in the video
stream or are included with you DVD or Blurays are safe.
受影响的只有下载的
ZIP字幕,
其他文字格式的字幕、串流影片内嵌字幕、DVD、BD都安全。
MPC-HC的回应也是人家拿 Hacked in Translation 那篇去问的,
也是提到不会从
ZIP档案中执行非字幕档案,所以不受影响。
这样看下来很明显就是拨放器有漏洞去载入ZIP夹带档案造成的吧!
※ 编辑: mkz6 (122.116.86.145), 05/26/2017 23:39:04
8F:推 ChakraLinux: MPC-HC: 抱歉我们的播放器太笨,所以没中招科科 05/27 01:23
9F:推 TobyH4cker: 我是说只有kodi是zip如你贴的那样 06/10 12:19