※ 引述《jmlntw (吉米林)》之铭言：
: Hacked in Translation - from Subtitles to Complete Takeover | Check Point
Blo
: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
: Beware! Subtitle Files Can Hack Your Computer While You're Enjoying Movies
: http://thehackernews.com/2017/05/movie-subtitles-malware.html
: 国外研究发现 VLC、Kodi(XBMC)、Popcorn Time、Stremio 有安全漏洞，
: 骇客可以透过一个恶意的 SRT 字幕档案入侵使用者的电脑。
: 实际 DEMO 影片：https://www.youtube.com/watch?v=vYT_EGty_6A
: 使用者在播放程式加载 SRT 字幕档之后，骇客就能完全操作受害者的电脑。
: 不过在专家通报这个漏洞之后，这些播放程式都已经做出修正。
: Stremio 出了 4.0 beta 版补洞、VLC 最近两周内会出 2.2.5 补洞、
: Kodi 预计在这周出 17.2 补洞、Popcorn Time 已经释出修正档。
: 建议有在使用这些播放软件的人最近多留意一下。
没有提到MPC-HC所以就查了一下
https://trac.mpc-hc.org/ticket/6169
No, MPC-HC doesn't allow overwriting arbitrary files when extracting files
from a downloaded ZIP file. It only extracts files with a valid subtitle file
extension.
不受影响，因为不会从ZIP加载非字幕档
跟ZIP有关??? 再查了一下
Kodi v17.2 修复说明：https://goo.gl/CvSePP
‧Fix possible security flaw which could abused .zip files which try to
traverse to a parent directory
修复ZIP档案安全漏洞
才发现原PO被不清不楚的文章和影片误导了…
原文中malicious subtitle files并不是指SRT格式
而是含有字幕档的ZIP档案
利用拨放器漏洞执行ZIP内的恶意程式
这在原文和影片中完全没有提到
搞得一堆人以为是字幕档本身有问题 = =

就觉得很奇怪 SRT应该只是文字档 没有执行程式的作用

安安 kodi的漏洞是另一个 当然不同于字幕

我还以为srt档里面可以加入URL参数，让播放器的字幕有特让播放器可以从网络下载字幕特效

https://www.youtube.com/watch?v=vYT_EGty_6Ayoutube上骇客利用字幕档来控制对方电脑的示范，但还是不清楚其真正原理为何？

MPC-HC: 抱歉我们的播放器太笨，所以没中招科科

我是说只有kodi是zip如你贴的那样