蓝光光盘在电脑上安装恶意软件-阿里云开发者社区

开发者社区> 开发与运维> 正文
登录阅读全文

蓝光光盘在电脑上安装恶意软件

简介: 本文讲的是 蓝光光盘在电脑上安装恶意软件,>当你在电脑中插入光盘影碟时,光盘会检测播放器的类型,然后选择合适的恶意软件安装到电脑中。

image

本文讲的是 蓝光光盘在电脑上安装恶意软件,当你在电脑中插入光盘影碟时,光盘会检测播放器的类型,然后选择合适的恶意软件安装到电脑中。这就是英国一位安全研究人员最近的研究成果。

上周五在苏格兰一所大学召开的安全会议上,斯蒂芬·汤姆金森介绍了这种通过蓝光(Blu-Ray)光盘进行入侵的方法。

PowerDVD是广为流行的光盘播放器,预装在很多主流厂商的计算机上。包括惠普、戴尔、宏基、联想、东芝和华硕。而蓝光光碟支持丰富的内容,包括使用蓝光Java(BD-J)制作的动态菜单和嵌入式游戏。BD-J则使用小型应用,如xlets,实现与用户的交互。

显而易见,xlets应该被禁止访问计算机操作系统和文件系统的。但汤姆金森发现PowerDVD中的一个漏洞允许他绕过沙盒,从而执行恶意程序。

还有一个漏洞则存在于蓝光播放器的硬件当中,这是一个“相当小”的嵌入式系统,运行带有命令行BusyBox交互界面的Linux。汤姆金森使用另一位安全人员编写的漏洞利用程序,可以获得蓝光播放器的root访问权限。然后编写一段xlet,诱使ipcc客户端在本地运行,以启动光盘上的恶意软件。

为了简化攻击,汤姆金森让光盘主动检测播放器的类似,以决定使用哪一种攻击方法,并且光盘还被设定为,先运行漏洞利用程序然后再播放光盘中的正常内容。

汤姆金森表示已经就此问题通知到厂商,但厂商并没有给予明确的答复。在问题解决之前,他给出了以下防范方法:

不播放来历不明的蓝光光盘,同时禁止光盘的自动播放功能;

禁止光盘播放器连接到互联网。

原文发布时间为:三月 3, 2015
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/6761.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章
最新文章
相关文章