Исходное сообщение
"Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитры" Отправлено opennews, 24-Май-17 13:19
В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена (http://blog.checkpoint.com/2017/05/23/hacked-in-translation/) уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров.  Проблема устранена в сегодняшнем выпуске Kodi 17.2 (https://kodi.tv/article/kodi-v172-minor-bug-fix-and-security...),  Popcorn-Time 0.3.10 (https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249/),  strem.io 3.6.5 (https://www.strem.io/) и  частично устранена в VLC 2.5.1 (полное исправление ожидается (http://www.videolan.org/security/) в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org. Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу (https://github.com/xbmc/xbmc/pull/12023/commits/c659486bc66d...),  проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрами. Атакующий может подготовить специально оформленный zip-архив, при распаковке которого может быть переписан любой файл в системе в рамках прав доступа текущего процесса с медиаплеером. Кроме того, в Popcorn-Time, судя по всему (https://github.com/popcorn-official/popcorn-desktop/commit/a...), устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода в состав субтитров в формате SRT. URL: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/ Новость: https://www.opennet.ru/opennews/art.shtml?num=46590