VLC, Kodi, Popcorn Time: Mediaplayer können über Untertitel gehackt werden
Untertitel sind praktisch, um Filme in einer fremden Sprache zu sehen oder eine andere Sprache zu lernen. Doch die Art und Weise, wie Mediaplayer damit umgehen, ist offenbar alles andere als sicher - bis jetzt.

Zahlreiche Mediaplayer gehen offenbar unvorsichtig mit Untertiteldateien um und können daher unerwünschten Code auf dem Rechner der Nutzer ausführen. Das geht aus einer Untersuchung der Sicherheitsfirma Checkpoint hervor. Betroffen sind beliebte Apps wie VLC, Kodi (ehemals XBMC) und Popcorn Time, insgesamt sollen rund 200 Millionen Nutzer bereits eines der verwundbaren Programme genutzt haben.
Angreifer können demnach laut Checkpoint manipulierte Untertiteldateien verwenden, um Rechner anzugreifen. Hauptproblem ist nach Angaben des Unternehmens die generelle Sicherheit entsprechender Programme. Zudem gebe es über 25 verschiedene Formate für Untertitel, alle mit verschiedenen Features und Funktionsweisen.
Checkpoint macht keine detaillierten Angaben zu technischen Details, um böswillige Angriffe zu verhindern. Zu vermuten ist allerdings, dass die Mediaplayer-Apps die Untertiteldateien nicht immer um eventuell eingeschleuste Befehle bereinigen und so Code zur Ausführung bringen, wie es bei zahlreichen Sicherheitslücken im Web-Bereich immer wieder geschieht. Dadurch kann es nach Angaben von Checkpoint möglich sein, den gesamten Rechner zu übernehmen.
Kaum Nutzerinteraktion erforderlich
Perfide ist, dass der Angriff kaum Interaktion der Nutzer benötigt. Viele Mediaplayer können so konfiguriert werden, dass sie Untertiteldateien aus vertrauten Verzeichnissen automatisch beziehen. Angreifer könnten die von ihnen präparierten Quellen zudem gezielt mit guten Bewertungen versehen, damit ihre Dateien bevorzugt ausgewählt werden.
Die Hersteller haben aktuelle Versionen bereitgestellt, die die Sicherheitslücke beheben sollen. Entsprechende Downloads bieten Popcorn-Time, Kodi, VLC und Streamio an.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Selten so einen Unfug gelesen. Zum einen ist mir unklar, warum Du mehrere Videos auf...
Kodi war für mich schon ca. 8 Jahre interessant, bevor ich Streaming überhaupt genutzt...
Oder einfach eine Erinnerung mal wieder ein VLC Update zu machen
Durch aus möglich. Ich habe die commits der letzten Woche mal überflogen und mir ist in...