流行播放器存安全漏洞，凭字幕文件可成功劫持用户系统

安全研究人员近期发现流行媒体播放器 Kodi 与 VLC 存在安全隐患，允许黑客利用恶意字幕文件 “ 完全控制 ” 用户个人电脑、智能电视与智能手机。目前，数亿用户正面临安全风险。

Check Point 专家表示，网络犯罪分子将 “ 精心制作 ” 的电影与电视节目文本文件传播至世界各地。一旦成功诱导用户下载运行，即可执行远程代码、接管用户设备。

字幕文本一般由写手创建并上传至互联网商店（ 如 OpenSubtitles 或 SubDB ），随后系统会根据人气与可用性进行索引与排序。此外，安全研究人员发现黑客可能通过操纵在线存储库排名算法愚弄系统，迫使媒体播放器自动下载恶意字幕并规避所有用户交互行为。

研究人员发现全球最受欢迎的四款媒体播放器 VLC、Kodi（ XBMC ）、Popcorn Time 与 Stremio 均存在此安全隐患。而其他流媒体播放器也不排除存在类似安全隐患的可能。目前，厂商已修复相关漏洞并发布该应用程序最新版本。安全专家强调，为保护自身设备远离网络攻击风险，用户应将流媒体播放器升级至最新版本。

原作者： Jason Murdock， 译者：青楚，译审：游弋

from hackernews.cc.thanks for it.