メディアプレイヤーを狙った字幕ファイルを使用した攻撃の可能性が指摘される 10
そういう背景が 部門より
VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している(Check Pointブログ、TorrentFreak、Register)。
攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。
オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。
攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。
Check Pointが脆弱性を確認したのはVLCのほか、Kodi(XBMC)、Popcorn Time、Streamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。
まあそゃそうだろうな。 (スコア:0)
入力が可能なら攻撃も可能ということだ。
Re: (スコア:0)
へー入力チェックしっかりしてても?
と口撃してみるテスト
# そんなことよりMPC-HCやMPC-BEは大丈夫なんか気になります
Re: (スコア:0)
# そんなことよりMPC-HCやMPC-BEは大丈夫なんか気になります
#6169 (Is MPC-HC vulnerable to the subtitles remote ...) [mpc-hc.org]によると、MPC-HC は大丈夫だそうです。(この情報の信頼性がわからないのが難点ですが...)
危険な字幕ファイルってどこから来る? (スコア:0)
実際の運用として、字幕ファイルって
どういうところで流通しているんだろう?
海外版DVDをゲットしたら
日本語字幕だけ、どっかからDLしてくるみたいな流れあんの?
Re: (スコア:0)
危険を指摘した Check Point のブログ [checkpoint.com]によると、
There are a number of shared online repositories, such as OpenSubtitles.org, that index and rank movie subtitles.
OpenSubtitles.org などの字幕を共有するサイトから流通するようです。
Re: (スコア:0)
格安DVDや著作権切れのDVDで多国語の勉強をする人が主にダウンロードしてきて使ってる。
Re: (スコア:0)
俺は知ってるぜ!
「なっち」って奴が犯人なんだ!
なんか、コメント少ないな。 (スコア:0)
やぶ蛇なるから?
Re: (スコア:0)
映画見るにしても他所から字幕ファイル拾ってくるなんてあるか?
Re: (スコア:0)
あるところにはあるんや。
世界は広いんやで。