メディアプレイヤー狙った字幕ファイル使用した攻撃の可能性が指摘

headless曰く、　VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している（Check Pointブログ、TorrentFreak、Register）。

　攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。

　オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。

　攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。

　Check Pointが脆弱性を確認したのはVLCのほか、Kodi（XBMC）、Popcorn Time、Streamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。

　スラドのコメントを読む | セキュリティセクション | 映画 | 書籍 | セキュリティ | ソフトウェア | 海賊行為

　関連ストーリー：
脆弱性のあるQuickTime for Windows、アンインストールでCreative Cloudに不具合の可能性 2016年04月21日
Windows版QuickTimeに2件の脆弱性、Appleは修正予定無しとしてアンインストールを推奨 2016年04月15日
Microsoft、Silverlightの使用中止を推奨 2015年07月05日