セキュリティ研究者たちは、攻撃者がマシンを制御するための驚くべき新しい方法を発見しました。それは、悪意のある字幕です。この脆弱性はデバイスに依存しないため、iPhoneからMacまで、あらゆるデバイスを制御できるようになる可能性があります。
この脆弱性はCheck Pointによって発見され、同社はこれを重大なリスクと表現している。
チェック・ポイントの研究者は、世界中の何百万人ものユーザーを脅かす新たな攻撃ベクトル、すなわち字幕攻撃を明らかにしました。悪意のある字幕ファイルを作成し、それをユーザーのメディアプレーヤーにダウンロードさせることで、攻撃者はVLC、Kodi(XBMC)、Popcorn-Time、strem.ioなど、多くの人気ストリーミングプラットフォームに存在する脆弱性を悪用し、あらゆるデバイスを完全に制御することができます。現在、この脆弱なソフトウェアを実行しているビデオプレーヤーとストリーマーは約2億台と推定されており、これは近年報告された脆弱性の中で最も広範囲に及んでおり、アクセスが容易で、かつ耐性のない脆弱性の一つとなっています。
この攻撃ベクトルが実際に使用されているという証拠はまだありませんが、可能性が明らかになった今、攻撃者が詳細を把握して使用し始めるのは時間の問題でしょう。
Check Point社によると、VLC、Kodi、Stremio、PopcornTimeなど、多くの主要メディアプレーヤーで脆弱なコードが見つかったとのことです。Kodiを除くすべてのプレーヤーで修正プログラムが利用可能です。Kodiのソースコードは修正済みですが、ランタイム版はまだ提供されていません。
- PopcornTime – 修正版を作成しましたが、公式サイトからはまだダウンロードできません。
修正版は以下のリンクから手動でダウンロードできます:https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249 - Kodi – 修正版を作成しました。現在はソースコードリリースのみ利用可能です。このバージョンはまだ公式サイトからダウンロードできません。
修正版のソースコードへのリンクはこちらです: https://github.com/xbmc/xbmc/pull/12024 - VLC – 公式に修正されており、同社のウェブサイトからダウンロードできます
。リンク: http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe - Stremio – 公式に修正され、ウェブサイトからダウンロード可能
リンク: https://www.strem.io/
同社はWindowsマシンをベースに概念実証を実施したが、すべてのデバイスが脆弱であることを強調している。Appleユーザーにとってマルウェアは依然として比較的小さな問題ではあるものの、完全に無視できるリスクではない。
getoog.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
