200 millioner videoafspillere vurderes at have den usikre software, som gør at hackere kan angribe via underteksterne.
Sikkerhedsfirmaet Check Point advarer nu om en ny trussel, denne gang rettet mod populære videoafspillere som VLC, Kodi (XBMC), Popcorn-Time og strem.io.
De anslår at omkring 200 millioner videoafspillere og streaming-software p.t. indeholder den usikkerhed.
Usikkerheden betyder at en hacker vil kunne tage kontrol med computer eller medieafspiller ved at inficere undertekster.
Filerne med undertekster anses nemlig som en betroet (trusted) kilde af medieafspilleren. Da undertekster blot ses som simple tekstfiler af antivirus og andre sikkerhedssystemer, så vil et eventuelt angreb ikke blive blokeret.
Der er mere end 25 formater indenfor undertekster, og hver har de unikke funktioner og egenskaber.
Flere af disse funktioner kan ifølge sikkerhedsfirmaet benyttes af ondsindede til at tage kontrol over den enhed som fortolker underteksterne. Om det er en medieafspiller, en PC, et Smart TV eller en mobil enhed.
Når der først er kontrol over enheden, så er mulighederne åbne.
Det kan benyttes til at stjæle følsomme oplysninger, til at installere ransomware eller benytte enheden til cyberangreb på nettet som DDOS (Denial of Service) angreb.
Sårbarheden er fundet i populære medieafspillere og afspillersoftware som VLC, Kodi, Popcorn Time og Stremio. Men sikkerhedsfirmaet vurderer at andre medieafspillere også kan have denne usikkerhed.
Efter at Check Point har gjort omverdenen opmærksom på den risiko der ligger i underteksterne, der er der begyndt at komme opdateringer som lukker hullerne.
På videoen herunder giver sikkerhedsfirmaet en demonstration af sårbarheden.
Tilgængelige opdateringer Kodi– Officialy fixed and available to download on their website. Link: https://kodi.tv/download VLC– Officially fixed and available to download on their website Stremio– Officially Fixed and avilable to download on their website PopcornTime– Created a Fixed version, however it is not yet available to download in the official website. The fixed version can be manually downloaded via the following link: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249 Kilde: Check Point |