Vektorem útoku může být i soubor s titulky.
V redakčním (CMS) systému Joomla byla opravena kritická chyba CVE-2017-8917. Jedná se o zranitelnost typu SQL injection, která umožňuje kompletní ovládnutí webu útočníkem bez nutnosti jakéhokoliv přihlašování. Joomla je spolu s WordPressem a Drupalem nejpoužívanějším publikačním systémem, je na ní založena řada webů. Pro útočníky jsou zranitelnosti v CMS systémech zajímavé, protože mohou takto kompromitovat i masově navštěvované stránky a pomocí vkopírovaného kódu pro exploity zasáhnout malwarem značný počet návštěvníků.
Zdroj: CSIRT.cz a další
V Sambě (open source implementace protokolu SMB) byla nalezena a zalátána bezpečnostní chyba CVE-2017-7494. Opravené verze mají číslo 4.6.4, 4.5.10 a 4.4.14.
Zdroj: ABCLinuxu.cz
Aplikace pro přehrávání videa VLC, Kodi (XBMC), Popcorn Time a Stremio obsahují zranitelnosti, kterou lze zneužít pomocí speciálně upraveného souboru s titulky. Opravená verze VLC má číslo 2.2.6, u Stremio jde o 4.0. Problém, na který upozornili výzkumníci společnosti CheckPoint, se týká nejen PC či tabletů/smartphonů, ale i chytrých televizí.
Demonstrace útoku ve formě proof-of-concept na Youtube
Zdroj: The Hacker News