Check Point的研究员近日发现了一个新的攻击界面——视频字幕文件，通过构造畸形的字幕文件，可以成功触发播放器远程命令执行漏洞，攻破用户系统。VLC、Kodi (XBMC)、Popcorn-Time和Stremio等播放器都存在该漏洞，目前有2亿用户受影响。

攻击者会使用各种方法，也称为“攻击向量”来实行网络攻击。这些攻击方法大致可以分为两大类：攻击者诱骗用户访问恶意网站，或者欺骗用户在电脑上运行恶意文件。

攻击是怎么形成的？

Check Point的研究新发现了一种攻击向量，该攻击向量使用了用户完全被忽视的技术，即当用户用媒体播放器加载电影字幕时，攻击者就会利用加载的字幕文件实施网络攻击。这些字幕存储库在实际加载时会被用户或媒体播放器视为可信源，  Check Point的研究还显示，这些字幕存储库可以被攻击者远程操纵，并向被攻击者攻击的目标播放器推荐被恶意操作过的字幕，从而达到诱导用户使用特定字幕的恶意目的。

不同于传统的攻击手段，所有的网络安全公司和用户都会把电影字幕认为是良性的文本文件，从来不会对它们采取什么安全防范措施，这意味着用户，杀毒软件和其他安全解决方案直接绕过对其的审查，让用户直接面临潜在的风险。

该攻击途径主要是依赖于各种媒体播放器处理字幕文件和大量字幕格式的漏洞状态。首先，播放器使用的字幕格式超过了25个，且每个字幕格式都具有独特的属性和功能。在用户观看影音时，媒体播放器经常需要解析多个字幕格式，以确保从所有的字幕中为用户筛选出最好的那个版本，以提供更好的用户体验，当然每个媒体播放器使用的方法各不相同。这就像其他不同功能的应用软件一样，在筛选的过程中，必然导致了许多不同的漏洞。

如何传播？

目前有许多共享的在线存储库，如OpenSubtitles.org，都是可以用来索引和排列电影字幕。一些媒体播放器甚至可以自动下载字幕，就是这些存储库被攻击者利用了。Check Point的研究人员经过测试，发现通过操纵网站的排名算法来达到攻击目的，这样就能保证精心设计的恶意字幕被媒体播放器自动下载，从而让攻击者对整个字幕供应链进行完全控制，而不进行中间攻击或用户交互，另外，此漏洞还会通过对字幕的评分排名，诱导用户来手动下载。

以下是一个样本攻击视频，展示了攻击者如何使用恶意字幕来控制你的设备。

危害有多严重？

根据 Check Point的研究，目前有2 亿用户受影响，其中每个被攻击的媒体播放器都有数百万用户受到影响。Check Point认为除了VLC、Kodi (XBMC)、Popcorn-Time和Stremio外，其他媒体播放器也可能会受到类似的攻击。 VLC 2016年6月5日发布的最新版本到目前已经有1.7亿多次下载量了，Kodi（XBMC）每天拥有超过1000万个用户，每月拥有近4000万个用户。目前没有关于Popcorn-Time使用情况的估计，但可以估计，这个数字同样是数百万级别的。

攻击者通过字幕攻击，可以对运行的任何目标设备进行完全控制，并且这个攻击不分你是PC，智能电视还是移动设备，只要攻击者愿意，可以在这些目标设备上为所欲为。这也就意味着攻击者可能实施任意程度的攻击，从窃取敏感信息，安装勒索软件索要赎金，进行大规模拒绝服务攻击等等。

哪些媒体播放器受到影响？

迄今为止，Check Point经过分析，发现了四个最著名的媒体播放器中的存在着漏洞：VLC、Kodi、Popcorn-Time和Stremio。研究人员有理由相信其它媒体播放器中也存在类似的漏洞。目前Check Point已将这些漏洞报告给了这些服务商，鉴于漏洞正在修复当中，Check Point暂时发布更多的技术细节。

我们建议用户及时对自己的播放器进行更新

Popcorn-Time虽然已经开发了一个升级更新版本，但是目前尚未在官方网站上下载。

不过可以通过以下链接手动下载：

https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249

Kodi创建一个修复版本，目前只能作为源代码发布，此版本尚未在官方网站下载。

可以点击以下链接到源代码进行程序修复：

https://github.com/xbmc/xbmc/pull/12024

VLC的修复版本可在其网站上下载

http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe

Stremio的修复版本可在其网站上下载

https://www.strem.io/