※ 引述《jmlntw (吉米林)》之銘言：
: Hacked in Translation - from Subtitles to Complete Takeover | Check Point
Blo
: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
: Beware! Subtitle Files Can Hack Your Computer While You're Enjoying Movies
: http://thehackernews.com/2017/05/movie-subtitles-malware.html
: 國外研究發現 VLC、Kodi(XBMC)、Popcorn Time、Stremio 有安全漏洞，
: 駭客可以透過一個惡意的 SRT 字幕檔案入侵使用者的電腦。
: 實際 DEMO 影片：https://www.youtube.com/watch?v=vYT_EGty_6A
: 使用者在播放程式載入 SRT 字幕檔之後，駭客就能完全操作受害者的電腦。
: 不過在專家通報這個漏洞之後，這些播放程式都已經做出修正。
: Stremio 出了 4.0 beta 版補洞、VLC 最近兩周內會出 2.2.5 補洞、
: Kodi 預計在這周出 17.2 補洞、Popcorn Time 已經釋出修正檔。
: 建議有在使用這些播放軟體的人最近多留意一下。
沒有提到MPC-HC所以就查了一下
https://trac.mpc-hc.org/ticket/6169
No, MPC-HC doesn't allow overwriting arbitrary files when extracting files
from a downloaded ZIP file. It only extracts files with a valid subtitle file
extension.
不受影響，因為不會從ZIP載入非字幕檔
跟ZIP有關??? 再查了一下
Kodi v17.2 修復說明：https://goo.gl/CvSePP
‧Fix possible security flaw which could abused .zip files which try to
traverse to a parent directory
修復ZIP檔案安全漏洞
才發現原PO被不清不楚的文章和影片誤導了…
原文中malicious subtitle files並不是指SRT格式
而是含有字幕檔的ZIP檔案
利用撥放器漏洞執行ZIP內的惡意程式
這在原文和影片中完全沒有提到
搞得一堆人以為是字幕檔本身有問題 = =

就覺得很奇怪 SRT應該只是文字檔 沒有執行程式的作用

安安 kodi的漏洞是另一個 當然不同於字幕

我還以為srt檔裡面可以加入URL參數，讓播放器的字幕有特讓播放器可以從網路下載字幕特效

https://www.youtube.com/watch?v=vYT_EGty_6Ayoutube上駭客利用字幕檔來控制對方電腦的示範，但還是不清楚其真正原理為何？

MPC-HC: 抱歉我們的播放器太笨，所以沒中招科科

我是說只有kodi是zip如你貼的那樣