最严重字幕漏洞3秒劫持PC:手机/电视也没跑

高技术的黑客可以说是无孔不入，黑掉一台计算机的方式可以说只有想不到没有做不到，就连电影字幕也能成为黑客的“帮凶”。

以色列安全组织Check Point本月 23 日通报了一种利用字幕文件实施电脑劫持的新型黑客手法。

Check Point介绍称，黑客借助恶意字幕文件及媒体播放器/串流平台的漏洞取得使用者设备的控制权，包括VLC、Kodi、Popcorn-Time与strem.io等媒体播放器或串流服务皆含有相关漏洞，估计影响全球 2 亿名用户。

如今有超过 25 种的字幕格式，媒体播放器经常需要适配解析不同的字幕格式以确保用户体验，这让这些播放器开发团队无暇顾及所有字幕格式的安全性。

Check Point分享了针对Popcorn-Time及Kodi播放器实施攻击的视频，当使用者以这两个播放器播放电影，并载入恶意的字幕档时，黑客就可自远端掌控使用者的设备，这些装置可能是PC、智能电视或移动设备，进而窃取机密资讯或安装勒索软件等。

目前，在接到Check Point的漏洞预警后，VLC与Stremio皆已更新官网上的软件版本，PopcornTime及Kodi虽已修补完毕，但尚未正式公布新版本。