当心当你欣赏电影时，字幕文件会侵入你的电脑

你看有字幕的电影吗？

就在昨天晚上，我想看一部法国电影，所以我搜索了英文字幕并将其下载到我的电脑上。

当我在欣赏这部电影时，我不知道一个小小的字幕文件可以将我电脑的完全控制权交给黑客。

是的，你听对了。

Check Point的一组研究人员在四种最流行的媒体播放器应用程序中发现了漏洞，黑客可以利用这些漏洞劫持“网络”任何类型的设备通过漏洞；无论是PC、智能电视还是移动设备“在字幕文件中插入恶意代码。
"我们现在发现，恶意字幕可以自动创建并传送到数百万台设备，绕过安全软件，让攻击者完全控制受感染的设备及其持有的数据，“他补充道。

这四款易受攻击的媒体播放器（如下所述）已被下载超过2.2亿次：

• VLC— 流行的VideoLAN媒体播放器
• 代码（XBMC）— 开源媒体软件
• 吃瓜时间— 即时观看电影和电视节目的软件
• 斯特雷米奥— 视频、电影、电视剧和电视频道的视频流应用程序

这些漏洞存在于各种媒体播放器处理字幕文件的方式中，如果成功利用，可能会让数亿用户面临被黑客攻击的风险。

一旦媒体播放器在屏幕上显示实际字幕之前解析了这些恶意字幕文件，黑客就可以完全控制您运行这些文件的计算机或智能电视。

概念验证视频

由于电影和电视剧的基于文本的字幕是由编剧创建的，然后上传到互联网商店，如OpenSubtitles和SubDB，黑客还可以为相同的电视剧和电影制作恶意文本文件。

"我们的研究人员还能够证明，通过操纵网站的排名算法，我们可以保证精心制作的恶意字幕将是媒体播放器自动下载的字幕，从而使黑客能够完全控制整个字幕供应链，不诉诸中间人攻击或要求用户交互，“检查站研究人员说。

研究人员认为，其他流媒体播放器中也存在类似的安全漏洞。

如何保护你的电脑免受黑客攻击？

Check Point已经将最近发现的漏洞通知了VLC、Kodi、Popcorn Time和Stremio应用程序的开发人员。

"为了让开发者有更多的时间来解决这些漏洞，我们决定目前不公布任何进一步的技术细节，研究人员说。

他们都修补了缺陷，Stremio和VLC发布了他们软件的修补版本：Stremi 4.0和VLC 2.2.5，已经发布了两周。

然而，Kodi开发者Martijn Kaijser表示，官方版本17.2将于本周晚些时候发布，而用户可以在线获得固定版本。爆米花时间补丁也可以在网上找到。

因此，建议用户尽快更新媒体播放器。