Chyba v přehrávačích umožní, aby stažené titulky zavirovaly počítač

Jako jednu z nejzávažnějších označili bezpečnostní odborníci chybu, která umožní zneužít falešné titulky k filmům a seriálům k napadení počítače. Ohroženo by mohlo být až 200 milionů zařízení.

Chyba je tak závažná, že umožní útočníkovi převzít kontrolu nad napadeným počítačem, televizí nebo mobilním zařízením.

Bezpečnostní firma Check Point objevila chybu v tom, jak přehrávače nakládají s titulky. Na světě je zhruba 25 formátů titulků a každý z nich má nějaká specifika. S tím se musí přehrávače vypořádat, což má vliv na zabezpečení práce s titulky. A firma objevila chybu, která umožňuje zneužít systém nakládání s titulky pomocí speciálně vytvořeného souboru, který se jako titulky tváří.

„Každý mediální přehrávač vyzkoušený CheckPointem má jedinečnou zranitelnost, která umožňuje útočníkovi, aby nakonec vzdáleně spustil kód a získal kontrolu nad cílovým systémem,“ vysvětluje Omri Herscovici, vedoucí týmu výzkumu a vývoje výrobků společnosti Check Point Software Technologies.

Problém je podle bezpečnostní firmy i v tom, že uživatelé pracují s titulky jako s prověřeným zdrojem a může uniknout i pozornosti antivirových programů. Systém nakládání s titulky je navíc z bezpečnostního hlediska poněkud přehlížen.

Podrobnosti o chybě zatím nechce společnost zveřejnit, aby je nikdo nezneužil, dokud nebudou vytvořeny a distribuovány opravy na postižené přehrávače. Naštěstí se zdá, že chyba ještě není zneužívána a tak by měli být uživatelé zatím v bezpečí a hlídat si aktualizace svých přehrávačů a okamžitě je instalovat.

Check Point uvádí, že ve spolupráci se čtyřmi výrobci softwaru na přehrávání multimediálních souborů se již podařilo vytvořit nové verze přehrávačů, které touto chybou netrpí. Opravené verze VLC a Stremio lze již oficiálně stáhnout z webů výrobce, u Kodi a PopcornTime se na to zatím čeká, než budou dokončeny testy kompatibility. Pracovní verze jsou zde a zde. Není však vyloučeno, že tento problém nemají i další přehrávače.