Descubierta vulnerabilidad que afecta a los subtítulos de las películas

La Oficina de Seguridad del Internauta advierte que se han detectado vulnerabilidades en reproductores multimedia como VLC, que permiten a un atacante tomar el control total del sistema a través de la carga de subtítulos maliciosos.

Se calcula que existen unos 200 millones de reproductores de vídeo que se ven afectados por este problema, lo que convierte a esta amenaza en una de las más extendidas y fáciles de explotar de las descubiertas en los últimos años.

La amenaza empeora al requerir una casi nula intervención por parte de la víctima. De hecho, si tenemos activada la opción de los subtítulos, muchos reproductores buscarán el fichero correspondiente en repositorios online, como OpenSubtitles.org, que los ordenan y clasifican. Estos repositorios pueden ser engañados para que un subtítulo malicioso cope las primeras posiciones del ranking, de manera que se ejecutará automáticamente cuando se visione la correspondiente película.

Además, tanto usuarios y como antivirus, consideran los subtítulos como simples ficheros de texto, por lo que no representan ninguna amenaza, por este motivo millones de usuarios están sin defensas y sin percepción del riesgo que supone esta amenaza.

La causa del problema reside en las pocas medidas de seguridad que los reproductores disponen a la hora de procesar los subtítulos. Una de las razones surge al existir unos 25 formatos distintos, cada uno con sus propias especificaciones, lo que conlleva múltiples vulnerabilidades.

Al tratarse de un problema situado en el software reproductor, todos los dispositivos en los que se puedan ver películas con sus correspondientes subtítulos están afectados, ya sea un ordenador, tablet, teléfono o Smart TV.

Solución

Se ha encontrado y testado esta vulnerabilidad en cuatro de los principales reproductores, pero es posible que exista en otros. Los fabricantes ya han publicado las correspondientes actualizaciones de seguridad, por lo que debemos instalarlas lo antes posible. Los cuatro reproductores son: VLC, Kodi (XBMC), Popcorn-Time y Strem.io.

Nuestro consejo es que, aunque el reproductor que utilices no sea ninguno de los cuatro anteriormente citados, compruebes que dispones de la última versión, y estés atento a posibles parches durante las próximas semanas.

Os recordamos que mantener nuestros equipos actualizados es una de las bases de la ciberseguridad.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: