Brecha no VLC, Popcorn Time e Kodi permite vírus em legenda de vídeo
Softwares de reprodução de vídeo estão recebendo atualizações de segurança para eliminar uma vulnerabilidade existente no processamento de legendas. Criando uma legenda falsa, um invasor poderia instalar um vírus durante a reprodução de um arquivo de vídeo, inclusive em vídeos legítimos.
A brecha foi descoberta pela empresa de segurança Check Point. Segundo a empresa, os programas que reproduzem vídeos são capazes de baixar e aplicar automaticamente uma legenda ao reproduzir um vídeo. Isso gera um fator de risco, já que um problema de segurança ou a possibilidade de manipular as legendas recomendadas pelos sites de distribuição poderia resultar no download automático de uma legenda contaminada com vírus.
Até o momento, o ataque é hipotético. Não há registro de que ele tenha sido realizado contra qualquer internauta, embora sua viabilidade técnica tenha sido comprovada. A Check Point publicou um vídeo (assista) demonstrando o ataque.
A empresa estima que até 200 milhões de internautas estejam usando os programas vulneráveis. A falha foi confirmada nos programas Popcorn Time, Kodi, VLC e Stremio. Todos já receberam atualizações, mas nem todos atualizaram os links de download. Usuários desses programas devem procurar instalar a versão mais recente disponível. No caso da VLC, a versão é a 2.2.5.1.
A Check Point não forneceu detalhes técnicos sobre como uma legenda maliciosa pode ser criada, mas explicou que os programas são compatíveis com 25 formatos de legendas. A complexidade dessa compatibilidade aumenta o risco de erros de programação e, portanto, de vulnerabilidades.
Arquivos de vídeo e legenda são arquivos de “dados”, o que significa que eles normalmente não podem conter a programação maliciosa de um vírus. Isso só é possível caso o programa responsável por processar esses dados (no caso, um reprodutor de vídeo) apresente uma vulnerabilidade que permita ao arquivo manipular os códigos executados pelo programa.
Abrir uma legenda maliciosa em um programa sem a falha não deve prejudicar o computador de nenhuma forma.