• IT-Karriere:
  • Services:

VLC, Kodi, Popcorn Time: Mediaplayer können über Untertitel gehackt werden

Untertitel sind praktisch, um Filme in einer fremden Sprache zu sehen oder eine andere Sprache zu lernen. Doch die Art und Weise, wie Mediaplayer damit umgehen, ist offenbar alles andere als sicher - bis jetzt.

Artikel veröffentlicht am ,
Untertitel können als Angriffsvektor genutzt werden.
Untertitel können als Angriffsvektor genutzt werden. (Bild: Checkpoint)

Zahlreiche Mediaplayer gehen offenbar unvorsichtig mit Untertiteldateien um und können daher unerwünschten Code auf dem Rechner der Nutzer ausführen. Das geht aus einer Untersuchung der Sicherheitsfirma Checkpoint hervor. Betroffen sind beliebte Apps wie VLC, Kodi (ehemals XBMC) und Popcorn Time, insgesamt sollen rund 200 Millionen Nutzer bereits eines der verwundbaren Programme genutzt haben.

Stellenmarkt
  1. BSH Hausgeräte GmbH, München
  2. RENK AG, Augsburg

Angreifer können demnach laut Checkpoint manipulierte Untertiteldateien verwenden, um Rechner anzugreifen. Hauptproblem ist nach Angaben des Unternehmens die generelle Sicherheit entsprechender Programme. Zudem gebe es über 25 verschiedene Formate für Untertitel, alle mit verschiedenen Features und Funktionsweisen.

Checkpoint macht keine detaillierten Angaben zu technischen Details, um böswillige Angriffe zu verhindern. Zu vermuten ist allerdings, dass die Mediaplayer-Apps die Untertiteldateien nicht immer um eventuell eingeschleuste Befehle bereinigen und so Code zur Ausführung bringen, wie es bei zahlreichen Sicherheitslücken im Web-Bereich immer wieder geschieht. Dadurch kann es nach Angaben von Checkpoint möglich sein, den gesamten Rechner zu übernehmen.

Kaum Nutzerinteraktion erforderlich

Perfide ist, dass der Angriff kaum Interaktion der Nutzer benötigt. Viele Mediaplayer können so konfiguriert werden, dass sie Untertiteldateien aus vertrauten Verzeichnissen automatisch beziehen. Angreifer könnten die von ihnen präparierten Quellen zudem gezielt mit guten Bewertungen versehen, damit ihre Dateien bevorzugt ausgewählt werden.

Die Hersteller haben aktuelle Versionen bereitgestellt, die die Sicherheitslücke beheben sollen. Entsprechende Downloads bieten Popcorn-Time, Kodi, VLC und Streamio an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Geforce RTX 3060 (12GB) im Test
    Der Preisleistungskracher - eigentlich
  2. AVM
    FritzOS 7.25 für Fritzboxen ist da
  3. Smart Home
    Ikea bringt flexible LED-Lichtleiste für 20 Euro
  4. Zoom Fatigue
    Warum Videokonferenzen uns so anstrengen
  5. Mac Mini mit M1-CPU
    Apple baut das fast perfekte ARM-Entwicklungsmonster
Anzeige
Hardware-Angebote
  2. (u. a. Ryzen 7 5800X 469€)
  4. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
Kommentarübersicht
Re: Warum überhaupt VLC nutzen
recluce 07. Jul 2017

Selten so einen Unfug gelesen. Zum einen ist mir unklar, warum Du mehrere Videos auf...

Re: Schon bezeichnend das illegale Addons in Kodi...
recluce 07. Jul 2017

Kodi war für mich schon ca. 8 Jahre interessant, bevor ich Streaming überhaupt genutzt...

Re: Wieder einmal unsinnige Meldung
Dwalinn 29. Mai 2017

Oder einfach eine Erinnerung mal wieder ein VLC Update zu machen

Re: Mediaplayer classic HC auch betroffen? kwt
nille02 25. Mai 2017

Durch aus möglich. Ich habe die commits der letzten Woche mal überflogen und mir ist in...

Re: Ich benutze nur SubRip-Untertitel (.srt) ...
JouMxyzptlk 25. Mai 2017

Damit kann ich aber die Position und Farbe und größe des Textes nicht festlegen, oder...

Folgen Sie uns
       
Canon EOS 5D Mark II im Jahr 2021 - Fazit

Canon EOS 5D Mark II im Jahr 2021 - Fazit Video aufrufen
Schulen
Microsoft Teams an Schulen: Läuft bei uns
Microsoft Teams an Schulen
Läuft bei uns

Viele Schulen setzen im Lockdown auf Microsoft Teams. Aber was ist wichtiger, reibungsloser Fernunterricht oder Datenschutz?
Von Meike Laaff und Jakob von Lindern

  1. Glasfaser Telekom will jede Schule in einem Jahr mit FTTH anbinden
  2. Nordrhein-Westfalen Bundesland gibt 2,6 Millionen Euro für Online-Lexikon aus
  3. Bildung Digitalpakt Schule "ist nach wie vor eine Katastrophe"
Disney+
Star auf Disney+: Erstmal sollten Fehler korrigiert werden
Star auf Disney+
Erstmal sollten Fehler korrigiert werden

Statt zunächst Fehler zu beheben, bringt Disney+ lieber neue Inhalte - und damit auch neue Fehler.
Ein IMHO von Ingo Pakalski

  1. Disney+ Zwei Star-Wars- und fünf Marvel-Serien kommen 2021
  2. Neue Profile von Disney+ im Hands-on Gelungener PIN-Schutz und alte Fehler
  3. Netflix-Konkurrenz Disney+ noch zum günstigeren Abopreis zu bekommen
Dell XPS 13
XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
XPS 13 (9310) im Test
Dells Ultrabook ist besser denn je

Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
Ein Test von Marc Sauter

  1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
  2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
  3. XPS 13 (9300) im Test Dells i-Tüpfelchen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /