TrustedReviews - Ste morda med stotinami milijonov ljudi po vsem svetu, ki si ogleduje piratske video vsebine prek spletnih platform, kot so Popcorn-Time, VLC, Kodi in stream.io? Kot razkriva podjetje za kibernetsko varnost Check Point, so podnapisi na omenjenih platformah postali priljubljeno sredstvo za vdiranje v informacijske sisteme s strani hekerjev. Ti podnapise obogatijo s škodljivim programovjem, ki ga spletne platforme avtomatično – skupaj z video vsebino – pretočijo na vaš računalnik ali pametno napravo. Po ugotovitvah Check Pointa je trenutno po svetu okuženih vsaj 200 milijonov osebnih računalnikov in drugih naprav, hekerji pa lahko kadarkoli prevzamejo popoln nadzor nad okuženo napravo.
Koliko časa so na omenjenih platformah za pretočne video vsebine okuženi podnapisi, Check Point ni ugotovil. Glavni problem je – tako podjetje - sama tehnologija izza podnapisov. Trenutno je več kot 25 uveljavljenih formatov za podnapise in vsak temelji na relativno drugačni tehnologiji. Zato na eni strani spletne platforme - ki želijo uporabniku zagotoviti čim boljšo storitev - ter predvajalniki video vsebin velikokrat avtomatično združujejo različne datoteke (in formate) podnapisov. Hekerji morajo tako samo naložiti podnapise na platformo in ta sama poskrbi za širjenje škodljivega programovja. Poleg tega podnapisi veljajo le za datoteke s tekstom, zato tudi jih le redki protivirusni programi resno pregledajo, do sedaj pa podnapisi tudi niso bili tarča raziskovalcev kibernetske varnosti.
Preveri še enkrat vire. Piše 200 milijonov ranljivih računalnikov in ne okuženih. Pa ne, da ranljivost ni resna.... Če sem prav prebral, gre za ugotovitev možnosti okužbe in nikjer ni napisano, da bi tudi že našli kakšne okužene podnapise.
VideoLAN and the VLC development team present VLC 2.2.6 "Umbrella". VLC 2.2.6 is a security update fixing issues with subtitles and other formats, and improving DLL-loading security. VLC media player 2.2.0 was a major upgrade of VLC, introduced accelerated auto-rotation of videos, 0-copy hardware acceleration, support for UHD codecs, playback resume, integrated extensions and more than 1000 bugs and improvements.
Convictions are more dangerous foes of truth than lies.
Hvala za odgovor. Pa ta posodobitev VLCja zadošča ali je potem npr. extension "vlsub" tisti, ki je malomaren pri pregledovanju in te zaserje? Oz. na splošno, kolikšno varnostno tveganje so ti vlc dodatki? Hvala
Ste morda med stotinami milijonov ljudi po vsem svetu, ki si ogleduje piratske video vsebine prek spletnih platform, kot so Popcorn-Time, VLC, Kodi in stream.io?
Tega stavka ne razumem. VLC je predvajalnik video vsebin, Kodi je media center, noben od njijo ni spletna platforma. Oba pa imata tolko veze s piratstvom, kot ma DARS s cestnimi dirkami.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Ste morda med stotinami milijonov ljudi po vsem svetu, ki si ogleduje piratske video vsebine prek spletnih platform, kot so Popcorn-Time, VLC, Kodi in stream.io?
Tega stavka ne razumem. VLC je predvajalnik video vsebin, Kodi je media center, noben od njijo ni spletna platforma. Oba pa imata tolko veze s piratstvom, kot ma DARS s cestnimi dirkami.
Z obojnimni lahko predvajaš stream s (piratskega/legalnega) spletnega vira. In VLC ma celo vmesnik za browser.
Windows verzija VLC-ja ti že ob zagonu pove, da ima na voljo update. Pravzaprav so hitro odreagirali - včeraj popoldne sem bral zgodbo na Twitterju, zvečer pa sem že imel nadgradnjo nameščeno.
Sicer podnapisov ne uporabljam (mi še nekako gre angleščina) ampak zadnje čase ti jih včasih že kar podtaknejo zraven videa, pa se samodejno štartajo. Idealno za kakega lumpa, da ti podvali backdoor.
in kaj je vektor napada, v tekstovnem formatu? Buffer overrun. Samo potem lahko targetiraš samo točno določeno verzijo programa oz. knjižnice za parsanje subov.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Changes between 2.2.5 and 2.2.5.1: --------------------------------
Security hardening for DLL hijacking environments
Translations updates
Misc: * Update for Soundcloud, liveleak and Youtube scripts * Fix potential out-of-band dereference in flac decoder * Fix potential out-of-band reads in mpeg packetizers * Fix infinite loop in subtitles demuxer * Fix incorrect memory free in ogg demuxer
Šele update 2.2.6. omenja:
"VideoLAN and the VLC development team present VLC 2.2.6 "Umbrella". VLC 2.2.6 is a security update fixing issues with subtitles and other formats, and improving DLL-loading security"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
A pise kje, da je exploitati okuzeno masino tudi preko interneta ali mora biti ataker v lokalni mrezi?
Exploitana mašina 'pokliče domov'. To je pa lahko kjerkoli.
Nice. Komaj cakam, da povem to novemu sefu. Ko sem se pogovarjal z njim je rekel, da mora imeti vsak klient namescene standardne programe in tu je omenil tudi VLC Player. Jaz se nisem strinjal, temvec rekel, da morajo imeti klienti toliko programov kolikor jih uporabniki dejansko potrebujejo.
Nice. Komaj cakam, da povem to novemu sefu. Ko sem se pogovarjal z njim je rekel, da mora imeti vsak klient namescene standardne programe in tu je omenil tudi VLC Player. Jaz se nisem strinjal, temvec rekel, da morajo imeti klienti toliko programov kolikor jih uporabniki dejansko potrebujejo.
Ne vem, kakšne 'kliente' (stranke?) imate to - tipično delovno mesto ne potrebuje posebnega playerja. Pa tudi marsičesa drugega ne, kar se sicer uporablja doma. Več ko je navlake na računalnikih, večja je nevarnost, da se je nekaj od tega pozabilo posodobiti ali da ima neko ranljivost, za katero ni na voljo popravka.
Kjer so sploh pikolovski, dejansko analizirajo katere programe in koliko jih uporabniki dejansko uporabljajo. Kar se ne uporablja se deinštalira in licenco uporabi na drugem računalniku, kjer se bo dejansko uporabljala zadeva. Že dolgo so na voljo orodja, ki takšne posege omogočajo kar preko mreže, da nameščaš in odstranjuješ v naprej pripravljene pakete standardnih programov.
Sicer pa si lahko ogledaš demo zlorabe podnapisov...
CVE-2017-8310 Heap out-of-bound read in CreateHtmlSubtitle in VideoLAN VLC 2.2.x due to missing check of string termination allows attackers to read data beyond allocated memory and potentially crash the process (causing a denial of service) via a crafted subtitles file.
CVE-2017-8311 Potential heap based buffer overflow in ParseJSS in VideoLAN VLC before 2.2.5 due to skipping NULL terminator in an input string allows attackers to execute arbitrary code via a crafted subtitles file.
CVE-2017-8312 Heap out-of-bound read in ParseJSS in VideoLAN VLC due to missing check of string length allows attackers to read heap uninitialized data via a crafted subtitles file.
CVE-2017-8313 Heap out-of-bound read in ParseJSS in VideoLAN VLC before 2.2.5 due to missing check of string termination allows attackers to read data beyond allocated memory and potentially crash the process via a crafted subtitles file.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
