播放器和编解码器受到黑客的审查
2007年黑帽大会的几个会议表明,需要继续开发精简代码,并关闭媒体播放器中可能被黑客利用的潜在漏洞. 流媒体上的许多文章.重点介绍需要加密的实际内容, 包括数字版权管理(DRM), 因此,内容盗版被最小化. 但是主流媒体很少报道播放器和编解码器本身的漏洞,以及这对内容的重定向或破坏可能意味着什么.
一年一度的“白帽聚会”,”“灰帽子,,“黑帽”黑客和安全顾问上周在拉斯维加斯举行的2007年防御大会和黑帽大会上,主流媒体最为人所知的可能是一名卧底记者带着美国全国广播公司(NBC)的隐藏摄像头“曝光” 国际日期变更线 程序. 但几个关键的演讲解释了媒体软件的漏洞,这些漏洞值得详细提及.
其中三场演讲是由iSEC Partners的代表做的, 提供渗透测试的安全咨询公司, 安全系统开发, 安全教育, 软件设计验证. 该公司主要为财富500强公司提供服务,并有在特定软件程序中发现漏洞的历史,这些漏洞通常会导致软件公司创建补丁.
演讲的范围从RTP协议中的漏洞, 用于ip语音和视频通话的, 讨论SIP的漏洞, H.323和IAX,后者是一种流行的VoIP协议. 一个演示演示了找到正在进行的VoIP呼叫的能力,并选择挂断呼叫(通过利用系统成功结束呼叫所需的HANGUP命令)或以破坏性方式在呼叫中插入其他音频.
对sreamingmedia最直接的兴趣.com的读者, 虽然, 是iSEC的David Thiel提出的“暴露媒体软件中的漏洞”. 会议的重点是Thiel所说的“大型攻击面”,“这个机会已经急剧增长,足以引起黑客的兴趣,他们可能会恶意利用这些漏洞.
而不仅仅是讨论漏洞, 蒂尔最后做了什么, 他还演示了使用模糊器的几个漏洞. 在安全渗透方面, 模糊测试是一种通过提供意外输入和监视异常来发现软件故障的方法. 在本质上, fuzzer会将垃圾或垃圾信息放入其中,并查看是否存在可能生成明文密码(非加密信息)等信息的漏洞,甚至查看使用了哪些编码库, 因此,已知的对特定代码库(如C, Python, 或者其他编程语言)都可能被利用.
相关文章
娱乐和游戏服务越来越多地遭受凭证填充攻击, 在这种情况下,黑客试图使用被盗的id获取访问权限.
2019年4月7日