字幕ファイルでハッキング、動画プレーヤー多数に脆弱性

ZDNet Japan Staff 2017年05月24日 16時31分

  • このエントリーをはてなブックマークに追加

 ストリーミング機能を備えた動画プレーヤーでは、ユーザーがインターネット上から字幕ファイルを取り込むことができる。この際の処理に起因する脆弱性を突いて、端末をハッキングできる手法をCheck Point Software Technologiesが報告した。

 同社によると、この問題では映画などの字幕ファイルが公開されたレポジトリが悪用される。ユーザーは動画再生時にプレーヤーからレポジトリにアクセスし、評価の高い翻訳ファイルを手動あるいは自動的にダウンロードして、利用することができる。

 攻撃者はこの仕組みに便乗し、細工した翻訳ファイルをレポジトリにアップロードする。ファイルに対する評価も偽装しておく。ユーザーがファイルをダウンロード、再生する際に動画プレーヤーの脆弱性を突くことで、ユーザーの端末を遠隔操作できるようなるという。

 脆弱性の内容は、動画プレーヤーによって異なるとみられる。Check Pointは少なくともVLC、Kodi、Popcorn Time、Stremioで脆弱性の存在を確認しており、各開発元に脆弱性情報を提供済み。5月23日時点でVLCとStremioから修正版がリリースされ、KodiとPopcorn Timeでも対応が進められている。

 Check Pointは、この他にも脆弱性を抱えた動画プレーヤーが存在する可能性があるとみて調査を継続し、脆弱性の詳しい技術情報などの公表は差し控えると説明している。

攻撃手法のインフォグラフィック''
攻撃手法のインフォグラフィック(出典:Check Point)
ZDNet Japan トップへ
  • このエントリーをはてなブックマークに追加

関連記事

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化

CNET Japanトップストーリー