多数のメディアプレイヤーの字幕機能に脆弱性。2億人のPC/スマホが被害を受ける可能性 - PC Watch
米セキュリティ会社のCheck Pointは23日(現地時間)、字幕を処理するプロセスに脆弱性があり、
動画を再生するだけでサイバー攻撃の被害を受ける可能性があることを指摘した。PCに限らな
い多くのデバイスで実行可能で、アンチウイルスソフトなどからも検出困難であることから、同社
はメディアプレイヤーなどのアップデートの早急なアップデートを呼びかけている。
この脆弱性はメディアプレイヤーの字幕処理に存在するもので、不正に改変した字幕ファイルが
読み込まれると攻撃者から任意のコードが実行可能となってしまうもの。それにより、ランサムウェ
アのインストールや端末の乗っ取りなど、さらなる被害に誘導されるといったことが考えられる。
さらに、同社は動画ストリーミングサービスが保存する字幕ファイルを置き換える攻撃が実現可
能であることを指摘。大手のストリーミングサービスがターゲットとなれば、多数のユーザーに被害
が及ぶ可能性がある。
字幕ファイルは信頼されたソースから提供されたファイルとして扱われるため、ユーザーはもち
ろん、セキュリティソフトもその危険性を感知する余地がない点もさらに危険となっている。
PCに限らず、スマートTVやスマートフォンなどのモバイル機器も被害を受ける可能性があり、
VLCやKodi(前XBMC)など、有名なメディアプレイヤーにこの脆弱性が確認されている。そのた
め、攻撃の対象となるユーザーは最大2億人と推計されている。
KodiやVLCはすでに最新版でこの脆弱性を修正しており、ユーザーはそれらの対策版にアップ
デートすることが推奨される。
http://pc.watch.impress.co.jp/docs/news/1061654.html