The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Атака на Kodi, VLC и Popcorn-Time  через вредоносн..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на Kodi, VLC и Popcorn-Time  через вредоносн..."  +/
Сообщение от opennews (??), 24-Май-17, 13:19 
В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена (http://blog.checkpoint.com/2017/05/23/hacked-in-translation/) уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров.  Проблема устранена в сегодняшнем выпуске Kodi 17.2 (https://kodi.tv/article/kodi-v172-minor-bug-fix-and-security...),  Popcorn-Time 0.3.10 (https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249/),  strem.io 3.6.5 (https://www.strem.io/) и  частично устранена в VLC 2.5.1 (полное исправление ожидается (http://www.videolan.org/security/) в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.

Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу (https://github.com/xbmc/xbmc/pull/12023/commits/c659486bc66d...),  проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрами. Атакующий может подготовить специально оформленный zip-архив, при распаковке которого может быть переписан любой файл в системе в рамках прав доступа текущего процесса с медиаплеером. Кроме того, в Popcorn-Time, судя по всему (https://github.com/popcorn-official/popcorn-desktop/commit/a...), устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода в состав субтитров в формате SRT.

URL: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
Новость: https://www.opennet.ru/opennews/art.shtml?num=46590

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +22 +/
Сообщение от Аноним (-), 24-Май-17, 13:25 
> устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода в состав субтитров в формате SRT

Куда катится этот мир?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +1 +/
Сообщение от Аноним (-), 24-Май-17, 17:31 
Мир делает вид, что пытается из неё выбраться, но скатывается, естественно, обратно :).
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +17 +/
Сообщение от Аноним (-), 24-Май-17, 13:44 
> strem.io

Хоть кто-то дал своему JS-проекту правдивое название.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –4 +/
Сообщение от Аноним (-), 24-Май-17, 13:49 
Ура, местные эксперты подъехали
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +7 +/
Сообщение от Аноним (-), 24-Май-17, 14:28 
Да и веб-макаки подоспели, я смотрю.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –2 +/
Сообщение от Аноним (-), 24-Май-17, 14:59 
Ты продолжай, мнение человека, который думает что js есть только в вебе очень значимо)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +15 +/
Сообщение от Iaaa (ok), 24-Май-17, 15:17 
Если гoвно не только течет по предназначенным для этого трубам, но еще и затапливает весь город - это совсем не значит, что гoвно перестало быть гoвном.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –3 +/
Сообщение от fsdgsdfsagsdfasdf (?), 24-Май-17, 17:40 
хеллоуворлдщики превращают ресурс в пикабу
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

24. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –3 +/
Сообщение от Аноним (-), 24-Май-17, 18:08 
Продолжай распространять своё ни на чем не основанное мнение) А мы, адекватные люди, продожим пользоваться этим одним из лучших на сегодняшний день ЯП.
Вот видишь? Js делает людей счастливыми, и все довольны)
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +6 +/
Сообщение от Аноним (-), 24-Май-17, 19:38 
> Вот видишь? Js делает людей счастливыми, и все довольны)

(.. медленно затянулся.. и передал следующему)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –2 +/
Сообщение от Отражение луны (ok), 24-Май-17, 21:45 
Забей, местные дилетанты свято ненавидят все, что не могут осилить.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

48. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от Джон Ленин (?), 14-Июл-18, 11:05 
Давай я резюмирую твою мысль:

Весь JIT и GC — ЖАБА.
Си — выстрелвноговый, Rust — закорючки. Место Баша рядом с Фортраном — в музее.
Плюсовые функции не могут возвращать массив? — Язык-инвалид.
"Все языки программирования априори ненормальны."

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +1 +/
Сообщение от Led (ok), 24-Май-17, 21:32 
У вэб-макаки полыхнуло?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

31. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –3 +/
Сообщение от Отражение луны (ok), 24-Май-17, 21:47 
Судя по здешнему диалогу горит в основном у вас. Вполне очевидно, что не будь вы такими нытиками - он бы даже и не состоялся)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +8 +/
Сообщение от НяшМяш (ok), 24-Май-17, 23:35 
> горит в основном у вас

Ну вообще-то, вы правы. У юзеров, которым надо работать, уже горит от всяких клиентов мессенджеров, написаных на опупительном жеесе, всяких веб приложениях, которые грузятся дольше и жрут больше операционки. Почему-то на тот же навороченый КДЕ, который блестит, свистит, светится, но помимо этого умеет и кучу полезного, который жрёт 500 метров оперативки - сразу катят бочку "обожимой он зохавал 3% моей оперативки и 5% моего процессора". А как какой-нибудь сайтик на очередном уберангуляре с тормозящей даже на суперкомпьютере анимацией и жрущий в одну вкладку 300 метров - так сразу "смотрите какой офигенный фреймворк и что на нём можно запилить, айда все свои сайты так же делать". Так что я бы советовал вебмакакам - утихните и радуйтесь, что настоящие тру кодеры ещё пытаются делать оптимизацию для вашего уныния в своих браузерных движках. А то ведь терпение не резиновое и они могут вам сказать самые страшные слова в вашей жизни - "научись программировать, обезьяна".

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от Отражение луны (ok), 25-Май-17, 04:37 
У сайтов проблемы не от js-а, а от обвязки html+css.
Если сравнить с qml+js 0 вы удивитесь разнице. Да, кривая поделка КДЕ тормозит жутко, но это лишь проблема КДЕ. Если посмотреть на другие аппы с применением qml+js - работают они крайне быстро. Нода используется для хайлоада. В гноме куча js-а, при этом он шустрее любой другой оболочки.
Продолжая мысль - у js хейтеров проблемы от недостатка знаний.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от Отражение луны (ok), 25-Май-17, 04:41 
И да, js будет посерьёзнее в плане возможностей и полноценного освоения почти любого другого современного ЯП. А уж если учесть их повальную синхронность - так это вообще отсталое уныние.
Учите матчасть, не позорьте своё имя) Удачи)
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

4. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +3 +/
Сообщение от Аноним (-), 24-Май-17, 13:49 
>>проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрами

Проблема стара как мир и известна всем, но её регулярно находят то тут, то там. :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –3 +/
Сообщение от Аноним (-), 24-Май-17, 13:54 
Вопрос, дыра-ли это?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +2 +/
Сообщение от Аноним (-), 24-Май-17, 13:55 
Люди - странные создания. Сколько не заставляй их лазить в квартиру через форточку в окне на третьем этаже, они всё норовят воспользоваться лифтом и дверью.

Такая архитектура у нашего дома, что через дверь небезопасно, а безопасно через форточку на третьем этаже. И нет, перестраивать дом из-за чьего-то нежелания лазить в форточку мы не будем!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от iZENemail (ok), 24-Май-17, 14:03 
Ошибка в libass что ли? Она не только в VLC, но и в ffmpeg используется, который... используется в Firefox. Да тут вся система под угрозой!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от Аноним (-), 24-Май-17, 14:52 
Ванга в треде? Судя по патчу, libass тут никаким боком.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

28. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от Led (ok), 24-Май-17, 21:35 
Да какая там "ванга"... Простоу этого пациента все мысли про ass.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

10. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от ОМДЗТ (?), 24-Май-17, 14:39 
Слава mpv. Остальные должны страдать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +3 +/
Сообщение от Аноним (-), 24-Май-17, 14:50 
А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +5 +/
Сообщение от Аноним (-), 24-Май-17, 14:54 
> А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?

Её там и нет. Это кривой плеер на жабоскрипте.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +1 +/
Сообщение от X3asd (ok), 24-Май-17, 14:57 
> А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?

ты на патч погляди!

https://github.com/popcorn-official/popcorn-desktop/commit/a...

там поддержка НЕ яваскрипта в сабах -- а поддержка возможности делать XSS-атаки через сабы :-)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от Аноним (-), 24-Май-17, 15:34 
> А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?

Чтобы можно было делать сабы бегущей строкой. Или эффекты, когда буковки с разных сторон летят и собираются в слова, а потом рассыпаются на части.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +8 +/
Сообщение от Аноним (-), 24-Май-17, 16:46 
Вся суть веб-макак - главное чтоб красивенько и с анимациями, а на остальное - плевать
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

37. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от Аноним (-), 25-Май-17, 11:26 
У субтитров несколько форматов. SRT без анимации, цветных субтитров и пр. SSA/ASS с анимацией, цветными субтитрами и пр. Форматы совместимы, поэтому в большинстве случаев используется один алгоритм для их обработки.

Цветные субтитры с анимацией нужны для караоке.

Цветные субтитры нужны в диалогах с несколькими участниками, чтобы у каждого участника был свой цвет. Не нужно забывать, что субтитры придумали для слабослышащих и лишь после адаптировали для просмотра фильмов/программ на иностранном языке.

Цветные субтитры с фоном позволяют заменить даже надписи в кадре (на знаках, письмах, газетах и пр.)

Итог: цветные субтитры и анимация нужны и являются частью формата.

> Вся суть веб-макак - главное чтоб красивенько и с анимациями, а на остальное - плевать

Судя по написанному, претензия к разработчикам формата. Судя по тону, к программистам. Определись наконец против кого сегодня дружишь.

Программисты допустили ошибку. Их ошибка вызвана кривой архитектурой и необходимостью выполнять ритуальные действия. Аналогичная проблема есть в php, где нужно не забывать экранировать параметры при передаче в запросы и выводе на экран. И в php это тоже одна из самых частых ошибок. Есть ошибки синтаксические, есть семантические, эта - архитектурная.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от anonym_unregistered (?), 31-Май-17, 09:24 
2.71б жеж твою мать!
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

13. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +2 +/
Сообщение от Аноним (-), 24-Май-17, 14:54 
Я даже представить не могу, насколько изощренный *****код в этих плеерах, что текстовый файл с текстом (субтитры) может превращаться в исполняемый JS или как-то проводить что-то в духе sql инъекции ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от Led (ok), 24-Май-17, 21:37 
> Я даже представить не могу, насколько изощренный *****код в этих плеерах

Да никакой он не "изощренный". Обычно "код" от обычной вэб-макакаки. Они другого не делают.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от Аноним (-), 24-Май-17, 15:31 
Посоны, я не понял: если я с помощью Popcorn Time смотрю видео не во встроенном плеере, а в SMplayer, меня не затрагивает проблема?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от Admino (ok), 24-Май-17, 17:39 
Да, не затрагивает. Но это ещё не значит, что в Smplayer нет дыр :-)
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от selishii (ok), 24-Май-17, 19:55 
Smplayer - "божественен", все остальное - "от лукавого".
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

38. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +2 +/
Сообщение от Lain_13 (ok), 25-Май-17, 11:29 
mpv -_-
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

39. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от KonstantinB (ok), 25-Май-17, 12:50 
О, я лет 15 назад тоже написал специализированный ftp-сервер с такой дыркой и меня похакали. :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от Аноним (-), 25-Май-17, 14:11 
А почему так пугают субтитры и дыра в них. И не пугает что некоторые популярные дистрибутивы с Kodi на борту, где Kodi работает от рута
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  –1 +/
Сообщение от iPony (?), 25-Май-17, 14:17 
Это какие? Самый популярный пример можно?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от iPony (?), 25-Май-17, 14:32 
И страшно все же. Захотел мультфильмы лошадками посмотреть, а у тебя биткойн кошелек увели.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от КО (?), 25-Май-17, 15:56 
А то еще хуже, твой плеер вместо показа лошадок заставили манйить на дядю, а тебе квадратики показывать. :)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от anonym_unregistered (?), 31-Май-17, 09:27 
А Малевичу надо было запатентовать квадрат-то.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

44. "Атака на Kodi, VLC и Popcorn-Time  через вредоносные субтитр..."  +/
Сообщение от thresh (??), 27-Май-17, 01:24 
В vlc нету remote code execution в этой проблеме, это вранье.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру