上週五,來自SANS互聯網響應中心和多家反病毒廠商的消息,Real Networks公司的媒體播放器軟件Real Player的Windows版本中存在一個漏洞,攻擊者可以利用這個漏洞向用戶的系統植入惡意代碼。目前已經確認該漏洞會影響Real Player 10/10.5/11 Beta版本。針對視頻進行惡意代碼的添加由來已久,因爲Real Player播放器的覆蓋面太廣,以致於黑客將RM等視頻格式當作最主要的攻擊手段。
RM視頻中的惡意代碼思路主要是通過RealMediaEditor中的某個組件完成的,大體思路是將網頁木馬集成到RM視頻中,在播放過程中即可彈出惡意代碼窗口,達到攻擊目的。
防範RM視頻木馬的方法也很簡單:RMRepair就是專門應對RM視頻木馬的,選擇好可疑的視頻文件,直接清除即可。建議用戶以後在觀看RM類視頻時都提前掃描一次。
另外針對其它視頻格式也應該注意,比如WMV和MOV文件,WMV文件使用的是Microsoft Windows媒體播放器數字權限管理加載任意網頁漏洞,利用WMDRM將惡意代碼插入到視頻,給用戶一種DRM驗證的假象。DRM驗證已經成爲Windows媒體播放器的軟肋,很多攻擊方式都是採用DRM驗證機制進行的,雖然DRM對版權保護起到了推動作用,但其外部特徵驗證基本爲零,使得很多惡意程序趁虛而入。而基於QuickTime的MOV視頻則利用了HREF文本軌道,利用事件代碼把木馬集成進去。
其實不管是何種視頻木馬,都是利用了web木馬原理,將木馬綁定網頁,再通過播放器本身的一些功能調用這個網頁。所以最徹底的解決方法就是禁止播放器訪問網絡,以Real Player爲例,利用防火牆的信任規則禁止Real Player訪問網絡,或者利用HIPS軟件監控其行爲。這樣不管視頻是否包含木馬,都不會遭到攻擊。