Hacked in Translation (update)
Donnerstag, 25.5.2017, 10:09 > daMaxAch du Scheiße. Inzwischen kann man sich per Untertiteldateien eine Malware einfangen.
Check Point researchers revealed a new attack vector which threatens millions of users worldwide – attack by subtitles. By crafting malicious subtitle files, which are then downloaded by a victim’s media player, attackers can take complete control over any type of device via vulnerabilities found in many popular streaming platforms, including VLC, Kodi (XBMC), Popcorn-Time and strem.io.
Himmel hilf. Zeit also, euren Mediaplayer zu aktualisieren, denn
PopcornTime– Created a Fixed version, however it is not yet available to download in the official website. Kodi– Created a fix version, which is currently only available as source code release. This version is not yet available to download in the official site. VLC– Officially fixed and available to download on their website Stremio– Officially Fixed and avilable to download on their website
Bei VLC unter Windows ist Vorsicht geboten: die Downloadsite bot mir standardmäßig immer nur die 32-Bit-Version an, obwohl es längst eine 64-Bit-Version gibt.
Update: hier ein Video, das angeblich zeigt, wie ein Angreifer per VNC die Kontrolle über einen Rechner erlangt, das Ganze in PopcornTime. Ich frage mich jetzt, ob so was auch passieren könnte, wenn man z.B. in Firefox einen Stream z.B. auf solarmoviez.to guckt.
(via fefe)
Artikel als RSS
und natürlich habe ich mich ca…
Ähm und die meisten Anderen auch. TruSEO-Punktzahlen? Die Suchmaschine meines „Ver-, nein…
oh. auf die meldung warte ich seit jahren. und zu VLCs 32Bit-download:
auf der VLC-homesite unten unter VLC-mediaplayer auf "VLC for Windows" klickn und man iss auf der untersite videolan.org/vlc/download-windows.html und da neben dem riesendownloadbutton dat kleine pfeil-rollup-menue aufmachn, dann kommt die auswahl "64bit-installer" oder zip-packages. durchaus bescheuert.
yep, einfach wärs auch gegangen, ich hab mir anfangs nen wolf gesucht und hab mich gefragt, was das soll (tu ich immer noch).
ps: alternativ einfach auf "older versions" gehen und sich dat vom FTP-server ziehen (da ist nämlich auch immer die aktuellste fassung vertreten, schön in 32 und 64bit-ordner unterteilt: download.videolan.org/pub/videolan/vlc/)
Ist übrigens kein einzelner Exploit, sondern vier unabhängige, aber auf Untertiteln basierende Exploits, die in den erwähnten Playern entdeckt wurden (daher ist auch die Rede von Angriffsvektor, nicht von einer Sicherheitslücke in einer Untertitel-Bibliothek wie libass oder so). Siehe auch der mpv Github: https://github.com/mpv-player/mpv/issues/4449#issuecomment-303725751
MPC- oder mpv-Nutzer müssen jetzt also keine Panik bekommen, weil es noch kein Update gibt. Da sind einfach keine Lücken bekannt.
@Gebbi:
hm. wenn man sich die kommentare bei github so durchliest...scheint die ganze nummer noch nicht wirklich bestätigt zu sein. der kommentar ist auch nett: "I also removed the URL as it's essentially advertisement for a "security" company."
medienkompetenzübung von fefe?
oh, mäx, ich seh grade erst daß du ja eh auf /download-windows.html verlinkt hast; na, wie jesacht, neben dem monsterbutton der kleene pfeil...
@DasKleineTeilchen: aber dass ich auch auf die 64-Bit-Version gelinkt habe, haste immer noch nicht gesehen, ne? Wat meenste, wie ick da wohl dran jekommen bin?
@da]v[ax:
wees ick doch nich
(klar hab ich den jesehen, *so* blind bin ich noch nich, hab mich halt jewundert, warum du nich auf dit menue hinjewiesen hast, sondern "nur" aufn downloadmirror verlinkt hast)
@DasKleineTeilchen: Dit is der Sörwissjedanke, allet für meene Leser|innen
Leider ist die verlinkte 64-Bit-Version veraltet: Version 2.2.5.1. Ganz neu ist 2.2.6., erhältlich über Updatefunktion. Wenn schon, denn schon.
@Raze: Links or it didn't happen:
Screenshot vom 24.05.2017 23:49
PS: meine 2.2.4 meinten sowohl unter Win wie unter OSX sie seien up to date. Ich musste die 2.2.5.1 echt auf beiden Kisten manuell d/len.
@Gebbi: Das macht es leider nicht besser. Mir als potentielles Opfer ist es egal, ob das ein Buffer Overflow oder ein Fehler im ZIP-Code ist, wenn der Angriffsvektor die Untertitel sind dann habe ich Angst, weil ich viele Filme mit UT glotze.
Ein paranoider Teil meines Gehirns meldet gerade: "Und was, wenn das Hacker im Dienst der Contentmafia sind", aber das nur am Rande
Am meisten beschäftigen mich gerade tatsächlich 2 Fragen:
1. Hat der Firefox'sche HTML5-Video-Player auch so eine Angriffsfläche?
2. Gibt es nicht vielleicht eine Möglichkeit, diese gehackten Subtitledateien irgendwie zu erkennen?
@da]v[ax:zu 2. Subtitle-Datei runterladen, im Texteditor öffnen und nach optischen Abweichungen vom Schema "Zeitmarke - Text" suchen, also einfach durchscrollen? Ich vermute, dass sich der Schadcode optisch vom Gelaber abheben dürfte.
@Raze:
genau deswegen habe ich auch extra auf "older versions" hingewiesen; auf download.videolan.org/pub/videolan/vlc/ findeste nämlich auch die 2.2.6.
@da]v[ax:
"Links or it didn't happen"
biddeschön:
http://download.videolan.org/pub/videolan/vlc/2.2.6/win64/vlc-2.2.6-win64.exe
@da]v[ax: zu Frage 1: Keine, die mit Untertiteln zusammenhängt, da der Firefox keinen Untertitel-Parser besitzt (alle anderen Browser auch nicht). Den muss jede Website, die Untertitel zu Videos anbietet, selbst schreiben (üblicherweise via JavaScript, früher meist via Flash), der Browser liefert nur eine Schnittstelle, um den aktuellen Timecode des Videos auslesen zu können. Somit können einzelne Websites eine potenzielle Angriffsfläche haben, aber kein ganzer Browser (okay, wie man's nimmt - der Schadcode müsste dann ja wiederum eine Lücke im Browser nutzen). Stellt sich dann aber die Frage, was es für einen Sinn haben soll, Schadcode extra in Untertiteln zu verpacken, wenn man ihn auch gleich direkt in den JavaScript-Code der Seite schreiben kann (worin er sich wesentlich besser obfuskieren lässt als in so einer Untertitel-Datei).
Ansonsten kann ich nur raten, einen Player zu nutzen, der keine eigene Implementation etablierter Untertitel-Parser einsetzt (wie VLC), sondern einen, der aktuelle Untertitel-Parser in ihrer Rohform verwendet, z.B. mpv (mit libass als UT-Parser) oder Media Player Classic (mit xy-VsFilter als UT-Parser - muss separat nachinstalliert werden, außer man nutzt ein Codecpack wie CCCP oder KCP). Hinter libass und xy-VsFilter stecken größere Communitys, entsprechend werden Sicherheitslücken schnell geschlossen. VLC nutzt eine eigene, abgewandelte Version von libass - da schauen dann natürlich deutlich weniger Leute drauf. Und wie man sieht, kann dann so was hier passieren.
Spaßfakt am Rande: Der interne UT-Parser von VLC hat in der Vergangenheit schon oft genug für den ein oder anderen "Lacher" gesorgt. In der Fan-Untertitel-Community hat man sich mehrfach Späße erlaubt wie das Anzeigen von Botschaften, die nur der kaputte VLC-Parser lesen konnte (á "Wer VLC nutzt, ist doof").
VLC für Windows hat einen Auto-Updater und weist einen in rot darauf hin, dass das Update ein SECURITY Fix enthält.
@unschland: das ist nicht so einfach, denn z.B. solarmoviez lädt die Untertitel automatisch dazu und schon hat man den Salat. Das kannste gar nicht schnell genug abschalten bei den schnellen Leitungen die wir haben. Deshalb meine Frage, aber natürlich wissen wir alle nicht, ob der auf Solarmoviez eingebettete Player die gleiche Sicherheitslücke hat oder nicht.
Alternativ dachte ich mir gestern "lädste halt das Zeugs erst unter Linux runter und guckst es dann aufm Rechner aber nach 30 Minuten Systemupdates/Firefox zickt rum/Chrome installieren/VideodownloadHelper fehlt hatte ich wieder keinen Bock mehr
@DasKleineTeilchen (12): jajaja ich glaube euch das ja. Trotzdem: mein 2.2.4 behauptete steif und fest, es sei aktuell und auf der Website ist auch heute noch die 2.2.5.1 als letzte offizielle Version verlinkt. Ich halte die 2.2.6 für ein Pre-Release so far.
@Gebbi (13): siehe oben. Solarmoviez zeigt Untertitel automatisch an und ich weiß im Moment nicht, welche Technik da genau zum Einsatz kommt. Ich fürchte, Flash. Und wir wissen beide, was für eine Grütze das ist...
Von mpv höre ich im Moment zum ersten Mal, danke für den Tipp (MPlayer kenne ich noch aus Windows-98-Zeiten). Ich bin halt über VLC bisher SEHR happy, weil der echt ALLES kann (wenn auch mitunter von hinten durch die Brust ins Auge), so kann ich z.B. VLC per Handy fernsteuern, das ist schon cool. Ich bin schon happy, dass VLC gefixt wurde, aber wie gesagt: wenn mir eine Streamingwebsite automatisch UT dazulädt, stehe ich im Moment vor einem echten Dilemma.
@meh (14): siehe meine Antwort 8