20 Giugno 2017
Check Point Security ha scoperto che basta un file dei sottotitoli in formato zip opportunamente modificato per garantire completo controllo del PC a un hacker. E tutto può avvenire in automatico.
Ci sono poche cose più seccanti di aggiornare il media center, specialmente se la tastiera è stata rimpiazzata da un ben più comodo telecomando, ma questa volta ci tocca proprio. Check Point Security ha scoperto una nuova vulnerabilità nella gestione dei pacchetti di sottotitoli in formato compresso .zip da parte di molti software di riproduzione audio/video molto conosciuti, come per esempio Kodi e VLC.
Manipolando opportunamente i file, è possibile eseguire codice malevolo e con scarse opportunità di difesa da parte dell'utente; tra l'altro, la società di sicurezza ha scoperto che è facile manipolare anche i ranking dei sottotitoli di piattaforme ritenute molto affidabili come opensubtitles.org, quindi è teoricamente possibile che l'attacco avvenga completamente in automatico - dal download all'esecuzione del codice malevolo. Questo particolare e il grande numero di utenti di questi programmi - intorno ai 200 milioni tra tutte le piattaforme, stima Check Point - rende l'attacco uno dei più pericolosi mai scoperti negli ultimi anni.
Fortunatamente le patch correttive sono già in fase di distribuzione - come di consueto, prima si dà il tempo agli sviluppatori di correggere la falla e poi si divulgano pubblicamente le proprie scoperte. Ecco la lista di software aggiornati finora:
Commenti
Grazie!
Per quelle cose che dici tu ho un box Android. Per il resto ho la Apple TV e sto bene così
risposta qui
http://codecs .forumotion net/ t2610-movie-subtitles-malware
Legge i divx? Gli mkv? Permette di attaccare un hard disk esterno e in autonomia scarica trame e copertine?
La Apple TV è un aborto.
Io uso un Mac mini con Kodi. Tutt'altro costo ovviamente, ma in ogni caso i soldi spesi per la Apple TV sono buttati
Ah perché? Comunque grazie.
Scusate , io ho 2.0.6.è corretta?Grazie
qualcuno mi sa spiegare come levare la pubblicità da uTorrent?
tempo fa qui qualcuno di cui non ricordo il nome mi aveva spiegato come fare da dentro le opzioni,ma ora non ricordo più
MPC-HC è immune da questo "bug"
Ma tutto ciò su Windows. Ma su Mac, Linux, Android, iOS? Stesso problema?
L'ultima versione di VLC è la 2.2.6, non la 2.2.5.1
Vabbe per l'utente non esigente basta e avanza l'impostazione di default,e anche la ventola gira meno se lo colleghi alla TV con HDMI rispetto a vlc
Io come Media Center uso un grammofono, mai fatto aggiornamenti, e va anche quando manca la corrente.
Non capisco se sia ironico il commento, in ogni caso non sono quelli gli sviluppatori, non è SopPlayer. Questo di cui parlo è nato da pochi mesi e la società è la Freedom Island Privacy Inc.
Sempre dritto seconda a destra
Si con software dei brothersoft sei sempre in buone mani
Non è la skin, non è un problema abituarsi
Faceva schf0 all'inizio
Perchè le prime release della 17 facevano schf0?
Beh per quelli che si fanno di questi problemi, si è meglio tenerlo spento.
Giusto
Meno male
Ma mettere il 17 no? Poi mi pare che c'è una skin the te lo fa sembrare come kodi 16 javris (anche se la versione 17 mi gusta di più come tema)
+ SVP manager per avere il framerate a 60fps
passo successivo: smontarlo (poi venderne i pezzi)
ti consiglio di provare potplayer. su hw vetusto e senza accelerazione grafica, faceva girare x264 a 1080p. E' estremamente personalizzable e leggero e non ha bisogno di codec aggiuntivi per leggere alcunchè (tranne un'estensione scrausissima .vp1, che nessun lettore m'ha riprodotto)
A me vlc (in combo con ES file explorer) è l'unico oltre a kodi che riesce a gestire lo streaming video da ftp senza scaricare i file
Per MPC-HC come procediamo?
C'è una guida dettagliata su come settare MadVR per ottenere un'immagine più ricca di dettagli, nelle varie risoluzioni (da 480p a 4K). Poi vabbè AC3 filter per gli aac 2 canali, convertendoli in 5.1.
Su kodi si può impostare opensub come sevizio e fa in automatico dal sito
Concordo sopratutto per i file mkv dove vlc fa fatica a volte
Fatto una settimana fa
MPC-HC + MadVR (figata!) e sottotioli rigorosamente srt. Lo trovo nettamente superiore a VLC come qualità.
Detto per i meno addentrati, è una falla applicativa a livello locale (dell'app installata, indipendentemente se tu sia collegato o meno).
Se hai un buco (falla) in casa, ed una banda di ladri accanto (eseguibile malevolo sotto .zip), anche senza soffiate esterne (Internet e livelli remoti) hai una percentuale di essere "fregato", perché col Privilege Escalation detto da DuN3DaiN il tuo bel controllo quale UAC aggressivo o porte di routing chiuse, verrebbero meno.
non hanno detto su che sistemi e come sono settati.
è molto presto per chiamarla backdoor
Già, con lo store è davvero comodo! Peccato appunto per i tempi, ma porterò pazienza.
Si oggi la situazione è migliore.
Cmq io da XP in poi su Windows ho deciso, se non lo apre vlc, non merita di essere visto XD
Scherzi a parte ognuno ha le proprie preferenze :)
Un file zip di sottotitoli opportunamente modificato e caricabile sui siti di sottotitoli può dare avvio in automatico ad una botnet o al pieno controllo remoto di dati e sistema.
Quando le "falle di sicurezza" ti verrebbe da chiamarle "backdoor"....
Ma ormai non serve più perché il sistema operativo è molto più completo però mi da fastidio che si perde in cretinate, tipo riproduzione del video ma non dell'audio
Ok, questo è un discorso che condivido.
Però quando facevo manutenzione lo installato proprio per i codec integrati.
l'avevo installato con lo store proprio per aggiornarlo più comodamente ma mi sa che non è stata una buona idea ahah
Vabbè aspetterò e nel frattempo userò vlc che invece ho aggiornato normalmente
Se un utente è appassionato al tal punto da voler selezionare codec ad uno ad uno, OK, ma solo il fatto di avere codec integrati è troppo pratico.
Poi vlc ha tante funzioni "secondarie" e nascendo come client ha la gestione dei flussi streaming ottima
Questo lo so, lo conosco molto bene, però sono funzionalità inutili per il 99% delle persone e quando posso cerco sempre di evitare di installare programmi non inclusi nel sistema operativo sui pc dei miei parenti e amici che si affidano a me.
Quicktime? Certo....
Vlc digerisce praticamente qualunque podcast di rete e registra e converte.
Ha buone funzioni di equalizzatore, filtri audio video e il sincro audio video che può sempre tornare utile.
È molto completo.
Quindi qualcuno che usa lo store di Microsoft esiste XD
Sì bellissimo peccato sia insufficiente
L'attacco è di tipo reverse tcp effettuato con meterpreter a quel punto viene fatta una privilege escalation che riesce a bypassare i vari UAC e antivirus del caso
Perché dovresti tenere nel PC un programma non aggiornato?
Sì, ma basta non mettere/scaricare i sottotitoli, dato che da lì deriva il problema.
Io installo a chiunque Vlc per evitare rotture
Ma se non lo avvio non c'è nessun problema, giusto?
Le versioni precedenti alla 17 non ricevono patch di sicurezza, da quanto ho capito.
Ti conviene passare alla 17.2.