[Tanel]

Check Pointi uurijad avalikustasid uue ründevektori, mis ohustab miljoneid kasutajaid üle terve maailma: rünnak subtiitrite kaudu!

Ründajad panevad kokku pahatahtliku subtiitrifaili, mille ohvri meediamängija laadib alla ja mis võimaldab ründajatel võtta täielikult üle iga tüüpi seadme, kasutades ära haavatavusi, mis leiduvad paljudes populaarsetes voogesitusplatvormides, nagu VLC, Kodi (XBMC), Popcorn-Time ja Stremio. Hinnangute kohaselt on haavatav tarkvara kasutusel ligikaudu 200 miljonis videomängijas ja voogesitajas, mis teeb sellest ühe kõige laiemalt levinud hõlpsasti juurdepääsetava ja nullvastupanuga nõrga koha, millest on viimastel aastatel teatatud.

Loe edasi: https://www.smn.ee/blog/hakitud-tolge-alates-subtiitritest-ja-lopetades-taieliku-ulevotmisega/


Link

[sooty]

Saan siis aru, et kasutaja jaoks subtiiter nagu subtiiter ikka (ehk näitab all teksti), aga taustal arvuti üle võetud? Päris kaval ja ohtlik.

[mikk36]

Kodi alternatiiv Plex õnneks mõjutamata sellest

[Etz]

Kodi sai minu tead ajuba mitu nädalat tagasi patchi...
Ja saadaval on see ka valmis kompileerituna, mitte ainult lähtekoodina.

[Dreamlover]

VLC lasi just mul update tõmmata

[mikk36]

[LKits]

VNC teenust üleüldiselt kinni keerata pole siis võimalik? Või tänapäeva viirusetõrjed lubavad tuimalt VNC ühendust läbi?

[warwas]

LKits, see pole ju otseselt viirusetõrje ülesanne. Taoline väljuv ühendus peaks hoopis tulemüüri kinni jääma.
Kurb on aga see, et Windowsi tulemüür vaikimisi olekus ju väljuvaid ühendusi ei kontrollil ega piira.

See näidisrünne windowsi pihtsa oli igati tore ja hirmutav, aga on keegi kuskil netivarustes mõne sellise artikli otsa ka komistanud, kus selle sama asjaga mingit ARM'i põhise karbi kallale minnakse?

[LKits]

Tulemüür on ju ometigi eeldatav... mis kasu on viirusetõrjest, kui legaalse koodiga saad palju-palju kahju tekitada.

[mahno]

Väljuva liikluse pordipõhine filtreerimine ei oma erilist mõtet, sest mitte ükski vägi ei keela pahalasel kasutada mõnd levinud porti, nagu näiteks 80 võí 443 või 53 mis on väga tõenäoliselt lahti niikuinii. Ja kui sa tahad nüüd piirata näiteks lahtioleva pordi 80 kaudu liiklust, mis ei ole http, peab sul olema juba palju targem ja võimekam müür, kes saab L7 peal toimuvast aru ja ka inimene, kes natuke asjast aru saab ja oskab probleeme lahendada, kui legitiimsed asjad ei tööta. Neid keskmisel kodukasutajal pole. Ja subtiitripõhine rünne võiks olla sihitud just eelkõige kodukasutaja vastu.

[warwas]

mahno, tõsi ta on.
Lihtlabane pordipõhine filtreerimine on antud juhul muidugi kasutu. Küll aga võiks aidata protsessi/rakenduse põhine filtreerimine. Mul hetkel puudub kahjuks info, kas see VNC server tuleb üles täiesti eraldiseisva/uue protsessina või pannakse "peremees" (KODI, popkorn, VLC) seda tegema. Esimese variandi korral saaks selle ikkagi kinni püüda.

[LKits]

Mõlema variandi puhul saaks seda kinni püüda.

Igal programmil ei ole vaja VNC õigusi ning tavaliselt viirusetõrje jon suuteline vastavaid koode tundma ning lokaalne tulemüür ühendusi filtreerima, tuvastama.

[warwas]

Kuna VNC on igati legitiimne protokoll, siis selle mustrite viirusetõrjes ohtlikuks tembeldamine tekitaks rohkem probleeme, kui ära hoiaks. Mis organ see siis otsustaks, et sellel protsessil on lubatud VNC serverit mängida (RealVNC, TightVNC, jms.) ja mingil teisel pole. Äkki ma tahan ka konkureeriva VNC serveri rakendusega turule tulla? Suht nõme lugu oleks, kui kõik viirusetõrjed minu kätetöö ohtlikuks tembeldaksid.

Lokaalse tulemüüri võimekust spetsiifilist liiklust tuvastada mahno juba mainis. See tähendaks L7 peal analüüsimist/filtreerimist ja sellega tõesti näiteks Windowsi oma müür hakkama ei saa. Krt, kui see suudaks vaikimisi olekus väljuvaid ühendusi kinni püüda, oleks suur osa probleeme juba lahendatud.

[LKits]

[warwas]

No telefonis on sul ainult käputäis eelnevalt määratud objekte, kuhu Sa ligipääsu lubada/keelata saad. Tavalise desktop OS'i puhul oleks see "VNC õigus" ju üks väääga paljudest võimalikest protokollidest. Aga OK, ma sain iseenesest aru, kuhu Sa oma mõttega tüürisid.

Aga vaatame korra seda olukorda vähe laiemalt. Täna tekitati ligipääs üle üsnagi standardse VNC protokolli (sellise, millele saab taolise õiguse 'lüliti' teha). Aga homme võib ju selleks mingi täiesti custom protokoll olla. Kirsiks tordil saaks selle veel üle SSL'i vastu porti 443 käima panna. Sedasi pole seal enam väga midagi filtreerida.
Tolle haavatavuse "point" oli ju selles, et subtiitritega sai kaasa panna (ja hiljem käivitada) mingi "kingituse". Hetkel oli selleks lihtsalt VNC.

[LKits]

Igatahes võib selle ühenduse avada üle ükskõik, mis pordi. Olen seda isegi teinud, maskinud ühenduse ".jpeg" failiks, HTTP päised täitsa legaalsed, kuid sisalduv info oli krüpteeritud kujul (mitte jpeg). Kõik lasti täiesti vabalt läbi, ei blokeeritud midagi.

[kalvis]

Ikkagi kummaline - miks peaks player subtiitri, mis on puhas ASCII tekst, alusel hakkama kuskilt netist ja veel ettesöödetud aadressilt kahtlast alla tõmbama ja installima? See on ikka playeri räme tagauks. Op.süsteem on kordades vähem süüdi.
Loodetavasti on nüüdseks mainitud playerid veavabad.

[mikk36]

kalvis, jutt on zip failide lahti pakkimisel olevast turvaveast selle zip faili nime töödeldes.