パスワードを忘れた? アカウント作成
13291915 story
書籍

メディアプレイヤーを狙った字幕ファイルを使用した攻撃の可能性が指摘される 10

ストーリー by hylom
そういう背景が 部門より
headless曰く、

VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している(Check PointブログTorrentFreakRegister)。

攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。

オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。

攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。

Check Pointが脆弱性を確認したのはVLCのほか、Kodi(XBMC)、Popcorn TimeStreamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年05月26日 16時56分 (#3217446)

    入力が可能なら攻撃も可能ということだ。

    • by Anonymous Coward

      へー入力チェックしっかりしてても?
      と口撃してみるテスト

      # そんなことよりMPC-HCやMPC-BEは大丈夫なんか気になります

  • by Anonymous Coward on 2017年05月26日 22時39分 (#3217659)

    実際の運用として、字幕ファイルって
    どういうところで流通しているんだろう?

    海外版DVDをゲットしたら
    日本語字幕だけ、どっかからDLしてくるみたいな流れあんの?

    • by Anonymous Coward

      危険を指摘した Check Point のブログ [checkpoint.com]によると、

      There are a number of shared online repositories, such as OpenSubtitles.org, that index and rank movie subtitles.

      OpenSubtitles.org などの字幕を共有するサイトから流通するようです。

    • by Anonymous Coward

      格安DVDや著作権切れのDVDで多国語の勉強をする人が主にダウンロードしてきて使ってる。

    • by Anonymous Coward

      俺は知ってるぜ!

      「なっち」って奴が犯人なんだ!

  • by Anonymous Coward on 2017年05月26日 22時58分 (#3217669)

    やぶ蛇なるから?

    • by Anonymous Coward

      映画見るにしても他所から字幕ファイル拾ってくるなんてあるか?

      • by Anonymous Coward

        あるところにはあるんや。
        世界は広いんやで。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...