本文讲的是 蓝光光盘在电脑上安装恶意软件,当你在电脑中插入光盘影碟时,光盘会检测播放器的类型,然后选择合适的恶意软件安装到电脑中。这就是英国一位安全研究人员最近的研究成果。
上周五在苏格兰一所大学召开的安全会议上,斯蒂芬·汤姆金森介绍了这种通过蓝光(Blu-Ray)光盘进行入侵的方法。
PowerDVD是广为流行的光盘播放器,预装在很多主流厂商的计算机上。包括惠普、戴尔、宏基、联想、东芝和华硕。而蓝光光碟支持丰富的内容,包括使用蓝光Java(BD-J)制作的动态菜单和嵌入式游戏。BD-J则使用小型应用,如xlets,实现与用户的交互。
显而易见,xlets应该被禁止访问计算机操作系统和文件系统的。但汤姆金森发现PowerDVD中的一个漏洞允许他绕过沙盒,从而执行恶意程序。
还有一个漏洞则存在于蓝光播放器的硬件当中,这是一个“相当小”的嵌入式系统,运行带有命令行BusyBox交互界面的Linux。汤姆金森使用另一位安全人员编写的漏洞利用程序,可以获得蓝光播放器的root访问权限。然后编写一段xlet,诱使ipcc客户端在本地运行,以启动光盘上的恶意软件。
为了简化攻击,汤姆金森让光盘主动检测播放器的类似,以决定使用哪一种攻击方法,并且光盘还被设定为,先运行漏洞利用程序然后再播放光盘中的正常内容。
汤姆金森表示已经就此问题通知到厂商,但厂商并没有给予明确的答复。在问题解决之前,他给出了以下防范方法:
不播放来历不明的蓝光光盘,同时禁止光盘的自动播放功能;
禁止光盘播放器连接到互联网。
原文发布时间为:三月 3, 2015
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/6761.html
