VLC su Linux è vulnerabile a un attacco da file .wmv progettato per installare virus? [duplicare]

Naviga le tue risposte
21

Ero stupido e non ho controllato un file video scaricato da una fonte inaffidabile. Era un file .wmv senza proprietà leggibili del video. So che i video .wmv possono scaricare virus . Quello che non so è se possono farlo a VLC su Linux (la mia ipotesi non lo è).

Quando ho aperto il file, non è stato riprodotto quando ho fatto clic sul pulsante Riproduci e il mio sistema si è bloccato (devo ribadire che ero un idiota). Ho fatto un strong riavvio.

Ora eseguo una scansione di ClamAV (non sono affatto sicuro delle capacità di un antivirus). Ho eseguito find -cmin -20 nella mia directory home per controllare il registro dei file modificati (non è stato trovato nulla di sospetto).

VLC non aveva root quindi non avrebbe potuto scrivere su / .

Dovrei essere preoccupato e perché il mio computer si è bloccato?

Modifica: È stato questo attacco . Ho rimosso il padding e l'ho inviato a Cuckoo Sandbox . VLC non supporta .wmv DRM

    
posta user 02.05.2016 - 08:38
fonte

4 risposte

13

Sì, VLC può essere violato. Qui puoi controllare CVE elenco di VLC .

Ma non fatevi prendere dal panico, solo perché il VLC si blocca, questo non significa necessariamente che qualcuno vi abbia violato. Assicurati che il tuo VLC sia aggiornato.

Puoi inviare quel file a questo sito web Cuckoo Sandbox e quindi incollare il rapporto qui, solo per curiosità facci vedere, cosa accadrà quando quel file è "sparato" nella sandbox.

EDIT: dopo essere stati analizzati con sandbox cucù.

Ok, abbiamo un problema, non c'è VLC dentro quella sandbox, quindi mi piacerebbe vedere cosa accadrà nella stessa scatola con VLC, ma finora c'è un URL sospetto all'interno di quel file:

NON APRI LINK! 

h**p://aavid.xyz?id=&dlgx=200&dlgy=200&adv=0

Dopo questo ti reindirizzerà su uno nuovo: 

h**p://playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.playbackerrormediaplayercodecrequiredtoplaythisfileinstallcodec.mediaplayerfix.tech/drm.php?id=&dlgx=200&dlgy=200&adv=0

Quindi ti darà l'opzione per scaricare il codec: 

h**p://alfafile.net/file/NfpC

e un altro reindirizzamento: 

h**p://a5.alfafile.net/dl/8va8w/CodecFix.exe

equellostessofileèdecisamentedannoso.

link

Per la chiusura; Non ho analizzato il file da solo, ma quello che ho fatto è solo una rapida panoramica delle stringhe, quindi non posso essere sicuro di come questo file agisca sul sistema reale, né se sta usando la vulnerabilità di VLC.

    
risposta data 02.05.2016 - 08:56
fonte
20

I file video da soli non possono contenere un "virus" nel senso classico, ma possono essere utilizzati per sfruttare bug nei lettori multimediali (o talvolta anche nel sistema operativo) quando si gestiscono i formati e i codec dei file. Usando questi exploit possono quindi eseguire codice.

Come la maggior parte dei lettori video vlc ha anche / avuto molti bug che potrebbero essere sfruttati, incluso nella gestione dei file WMV . Ma è improbabile che l'antivirus trovi tali exploit perché di solito non conoscono molto i codec e non eseguono nemmeno la scansione dei file video. Poiché tali exploit sono in genere specifici del sistema operativo e la maggior parte interessa solo a Windows a causa della quota di mercato, probabilmente sei sicuro con Linux, a meno che tu non sia specificamente mirato.

    
risposta data 02.05.2016 - 08:53
fonte
5

L'attacco elencato nella domanda di riferimento certamente non funzionerebbe con VLC o Linux. VLC non supporta l'oscuro DRM di Windows Media Player che utilizza (almeno non a mia conoscenza) e, anche se lo facesse, lo scopo dell'attacco è quello di indurti a scaricare ed eseguire alcuni file eseguibili di Windows.

Detto questo, un tipo diverso di attacco è teoricamente possibile, se in VLC venisse rilevata una vulnerabilità di sicurezza che un WMV pericoloso potrebbe sfruttare. È più probabile che dalla tua descrizione il WMV dannoso utilizzi il precedente attacco.

Nel caso di quelli WMV di tipo WMV che hanno come target Windows Media Player, se si ispeziona il WMV in un editor esadecimale, si troveranno pochissimi dati reali costituiti principalmente da un URL, seguito da nient'altro che padding vuoto per renderlo il previsto dimensione del file.

    
risposta data 02.05.2016 - 08:52
fonte
-6

Come programmatore, la risposta è semplicemente: "No".

I file video non contengono codice eseguibile. Anche se lo facessero, Windows è molto diverso dal design di Linux. I due utilizzano diversi formati binari per il sistema operativo che sono incompatibili. Gli exploit che funzionano su Windows normalmente non funzioneranno su Linux.

L'unica cosa che un file video alterato potrebbe fare è scattare un bug in VLC o in un altro lettore video, o nel browser web se è impostato per seguire automaticamente i collegamenti. La probabilità che un tale errore permetta loro di "hackerare" Linux usando un file video è così ridicolmente remoto che non vale la pena menzionarlo.

Hai una migliore possibilità di essere investito da una macchina che prende il giornale.

Ritengo inoltre che i codec WMV sotto Linux siano utilizzabili, ma soprattutto un formato non supportato. Microsoft raramente li usa ancora, dopo averli messi da parte a favore di MP4, su cui Microsoft detiene una quota di brevetto. Francamente, non dovresti usarli neanche ... ma convertirli in MP4 o VP8.

Se stai usando qualcosa come Ubuntu o Arch Linux, stai anche utilizzando programmi che non sono stati completamente debugati. Dovresti aspettarti dei problemi.

    
risposta data 02.05.2016 - 23:57
fonte

Leggi altre domande sui tag

Se invii un pagamento bitcoin a un venditore, impareranno il tuo indirizzo IP? L'esecuzione javascript dalla barra degli indirizzi può causare danni al computer del cliente?