Infekcja przez plik z filmem? Uważajcie na .ASF, .QT i .WMV

dodał 22 października 2012 o 15:39 w kategorii Top, Złośniki  z tagami:
Infekcja przez plik z filmem? Uważajcie na .ASF, .QT i .WMV

Czy można zarazić się wirusem, oglądając film ściągnięty z sieci? Wygląda to jak scenariusz filmu z Hollywood, ale niedawno odkryte błędy w jednej z popularnych bibliotek pokazują, że jest to całkiem możliwe. Złośliwy kod można ukryć w pliku wideo.

Kilka dni temu Microsoft ogłosił, że odkrył istotne błędy w pakiecie FFmpeg, popularnym oprogramowaniu open-source, wykorzystywanym przez wiele programów multimedialnych na wielu platformach systemowych. Korzystają z niego między innymi takie programy jak VLC, MPlayer, KMPlayer, ffdshow czy nawet przeglądarka Chrome (dla potrzeb renderingu w HTML5).

Zidentyfikowane błędy znajdują się w bibliotece libavcodec.dll, zawierającej wszystkie kodeki audio i video oraz odpowiedzialnej za kodowanie i dekodowanie plików w wielu formatach. Pozwalają one na wykonanie dowolnego kodu z uprawnieniami użytkownika na komputerze, na którym zostanie odtworzony specjalnie przygotowany plik wideo w formacie ASF, QT lub WMV. Podatne na atak są wersje FFmpeg 0.10 oraz wcześniejsze (Secunia podaje 0.11.2 i wcześniejsze, ponieważ odkryła jeszcze jeden błąd o podobnym charakterze), dlatego warto zaktualizować do wersji 1.0.

Ryzyko infekcji jest raczej niewielkie, ponieważ autorzy wirusów krążących po sieci wolą stosować prostsze i skuteczniejsze na dużą skale metody infekcji takie jak ataki na przeglądarki i obsługiwane przez nie wtyczki. Nie należy jednak lekceważyć zagrożenia, ponieważ pliki multimedialne bardzo rzadko leżą w polu zainteresowania skanerów antywirusowych. Także usługi weryfikacji reputacji plików pobieranych z internetu zintegrowane w przeglądarkach skupiają się na plikach wykonywalnych. Co jednak najważniejsze – takiego zagrożenia nie spodziewa się użytkownik, który może nawet sam szukać w ciemniejszych zaułkach sieci najnowszego filmu z Jamesem Bondem. Uważajcie zatem na pliki opisane w tytule wpisu.