GENERAL
10 meneos
89 clics

Subtítulos maliciosos, trampa para tomar el control de dispositivos que reproduzcan video

Ni correos ni ventanas sospechosas: este software malicioso entra en nuestro dispositivo por los subtítulos y el atacante puede tomar control del mismo. Leer artículo: www.xataka.com/seguridad/subtitulos-maliciosos-la-nueva-trampa-para-to Fuente original: blog.checkpoint.com/2017/05/23/hacked-in-translation/

| etiquetas: hacking , reproductores , mediacenter , mediaportal , xbmc , kodi , vlc
  1. Más info:

    Al parecer, son distintas vulnerabilidades:

    Kodi - Vulnerabilidad en el lector de ZIP. Se puede sobreescribir cualquier archivo del sistema operativo mientras el usuario tenga permisos suficientes. El alcance de esta vulnerabilidad está restringida a los sistemas operativos y/o configuraciones que permiten al usuario sobreescribir archivos del sistema o no controlan los permisos de ejecución.

    Popcorn time - Vulnerabilidad que permite la inyección de código JavaScript desde los subtítulos, ya que éstos se interpretaban como html sin sanear. Esta vulnerabilidad permitiría ejecutar código en cualquier sistema operativo, con los privilegios del proceso principal del programa.

    VLC - Varias vulnerabilidades de desbordamiento de la memoria. Tal como está diseñado VLC, no veo muy realista un ataque basado en esas vulnerabilidades. Con aleatorización del espacio de direcciones de la memoria, es bastante complejo aprovechar este tipo de vulnerabilidad.

    En cuanto a Stremio, parece que el programa en sí no es de código abierto, de manera que no sé qué le puede pasar.
  2. Ya sé que no es estrictamente material para compartir o noticia p2p pero dado que much@s tenemos algún tipo de media center preparado para disfrutar de sesiones de cine o series he considerado oportuna la advertencia.
  3. Todos mis media center están con linux, así que problemas de permisos no hay ( bueno, seguramente algún loco hay ejecutando estos programas como root xD )
  4. #3 Por desgracia, esa buena práctica tan saludable de que sólo el root sea administrador del sistema operativo en la instalación por defecto y que el primer usuario que crees sea sin privilegios no ha sido nunca incorporada por Microsoft. La de veces que me habré llevado las manos a la cabeza cada vez que veo un conocido trabajando y navegando con un usuario con permisos administrativos...

cuékgame