Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Shark007 codecs en security
12-01-2012, 15:26 door Spiff has left the building, 23 reacties
Verderop in mijn post een uitweiding over waarom te kiezen voor het gebruiken van codec packs,
maar hier nu eerst de kern van deze post:
Hoe zit het met de security van codec packs,
en met name met die van de Shark007 codec packs?
En daarmee doel ik dan niet op de rommel die een beroerd codec pack of een beroerde configuratie daarvan kan veroorzaken (waarmee ik specifiek niet doel op Shark007), maar op het al dan niet voorkomen van security kwetsbaarheden, vulnerabilities, en de veiligheidsrisico's daarvan.
Het viel me op dat de codec pack aanbieder Shark007 (http://shark007.net/) in de changelogs nooit melding maakt van security updates, terwijl zoiets als FFmpeg, waarvan Shark007 code gebruikt, om de haverklap security updates vermeldt.
Ik heb Shark007 er eens naar gevraagd.
Lees deze thread op het Shark007 forum met mijn bijdragen en de reactie van Shark007:
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
De reactie van Shark007:
" I have been using computers since the 70's and I cannot think of a single security update that was ever released for a codec."
Shark007 is nogal eens kortaf met zijn reacties, en zelfs knorrig, maar het product dat hij levert functioneert prettig.
Mijn vraag nu aan jullie:
Zit het waarschijnlijk wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of zien jullie dat anders?
In dat laatste geval, voel je vrij niet alleen hier, maar ook in die thread op het Shark007 forum een opbouwende bijdrage te leveren. (*)
Heel graag jullie reacties.
(*) UPDATE
Shark007 heeft mijn thread op zijn forum gesloten,
met zijn commentaar:
" I'll quote myself ...
I'm sorry to hear that you are so insecure
and lock this thread because I do not wish to entertain your insecurities any further."
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs?pid=25083#pid25083
Mijns inziens laat dat nogal wat zien over de stijl van de persoon achter Shark007.
-------
Aanvullend, hieronder nog een uiteenzetting over waarom al dan niet te kiezen voor het gebruiken van codec packs:
Onder Windows kunnen met de meegeleverde Windows Media Player en Media Center standaard slechts een vrij beperkte selectie bestandsformaten worden afgespeeld.
Om meer bestandsformaten te kunnen afspelen is het nodig extra codecs te installeren, of om een media player te gebruiken die standaard veel meer verschillende bestandsformaten aankan dan Windows Media Player en Media Center, zoals bijvoorbeeld VLC media player en Gom Player.
VLC media player en Gom Player kennen echter hun eigen problemen.
Zo heeft VLC media player nogal eens ingewikkelde instellingen nodig en is daardoor wellicht niet werkelijk gebruiksvriendelijk te noemen voor 'niet techies', en zo kent VLC regelmatig problemen/ bugs, en deïnstallatie zou mogelijk problematisch kunnen zijn wegens integratie in WMP core componenten. En GOM Player heeft het onhebbelijke kantje dat het reguliere dvd's niet eens altijd goed aankan.
Meer over de pro's en con's van VLC media player en Gom Player en diverse andere media players vind je hier:
http://www.techsupportalert.com/best-free-windows-media-player-replacement.htm
Daarnaast hebben vooral regelmatig VLC maar ook af en toe GOM Player last van serieuze security kwetsbaarheden, en het duurt dan regelmatig geruime tijd voordat die gepatcht worden.
Zie bijvoorbeeld:
http://secunia.com/community/advisories/search/?search=VLC+media+player
http://secunia.com/community/advisories/search/?search=GOM+Player
Sommige gebruikers kiezen om bovenstaande redenen niet voor het installeren van een extra player zoals VLC media player of Gom Player, maar kiezen voor het gebruik van Windows Media Player (en eventueel Windows Media Center) die geschikt gemaakt wordt voor een ruim assortiment bestandsformaten door codecs te installeren, in de praktijk meestal een codec pack.
Het goed gebruiken van een codec pack kan ook nog lastig zijn, het verkeerde codec pack of een verkeerde configuratie kan een hoop verprutsen.
Een codec pack dat relatief simpel is te installeren en te configureren (wel eventjes goed de documentatie bestuderen), dat is een Shark007 codec pack.
http://shark007.net/
Ik gebruik het momenteel nog op een WinVista systeem en het functioneert heel prettig. Ik overweeg - of inmiddels: overwoog! - het binnenkort ook op een Win7 systeem te installeren.
Wel is het opletten met de adware.
Ik begrijp dat in sommige landen (USA en UK?) by default een Bing Toolbar wordt meegeïnstalleerd (aangegeven in de EULA), waarvan er dan niets anders opzit om die vervolgens maar te deïnstalleren. En daarnaast wordt bij installatie nog een tweetal adware aangeboden, waarvan je de installatie kunt afwijzen. In het recente verleden heeft daarmee het probleem bestaan dat zelfs bij het afwijzen van de adware die toch geïnstalleerd werd, maar dat probleem is opgelost, begrijp ik.
-------
maar hier nu eerst de kern van deze post:
Hoe zit het met de security van codec packs,
en met name met die van de Shark007 codec packs?
En daarmee doel ik dan niet op de rommel die een beroerd codec pack of een beroerde configuratie daarvan kan veroorzaken (waarmee ik specifiek niet doel op Shark007), maar op het al dan niet voorkomen van security kwetsbaarheden, vulnerabilities, en de veiligheidsrisico's daarvan.
Het viel me op dat de codec pack aanbieder Shark007 (http://shark007.net/) in de changelogs nooit melding maakt van security updates, terwijl zoiets als FFmpeg, waarvan Shark007 code gebruikt, om de haverklap security updates vermeldt.
Ik heb Shark007 er eens naar gevraagd.
Lees deze thread op het Shark007 forum met mijn bijdragen en de reactie van Shark007:
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
De reactie van Shark007:
" I have been using computers since the 70's and I cannot think of a single security update that was ever released for a codec."
Shark007 is nogal eens kortaf met zijn reacties, en zelfs knorrig, maar het product dat hij levert functioneert prettig.
Mijn vraag nu aan jullie:
Zit het waarschijnlijk wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of zien jullie dat anders?
In dat laatste geval, voel je vrij niet alleen hier, maar ook in die thread op het Shark007 forum een opbouwende bijdrage te leveren. (*)
Heel graag jullie reacties.
(*) UPDATE
Shark007 heeft mijn thread op zijn forum gesloten,
met zijn commentaar:
" I'll quote myself ...
I'm sorry to hear that you are so insecure
and lock this thread because I do not wish to entertain your insecurities any further."
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs?pid=25083#pid25083
Mijns inziens laat dat nogal wat zien over de stijl van de persoon achter Shark007.
-------
Aanvullend, hieronder nog een uiteenzetting over waarom al dan niet te kiezen voor het gebruiken van codec packs:
Onder Windows kunnen met de meegeleverde Windows Media Player en Media Center standaard slechts een vrij beperkte selectie bestandsformaten worden afgespeeld.
Om meer bestandsformaten te kunnen afspelen is het nodig extra codecs te installeren, of om een media player te gebruiken die standaard veel meer verschillende bestandsformaten aankan dan Windows Media Player en Media Center, zoals bijvoorbeeld VLC media player en Gom Player.
VLC media player en Gom Player kennen echter hun eigen problemen.
Zo heeft VLC media player nogal eens ingewikkelde instellingen nodig en is daardoor wellicht niet werkelijk gebruiksvriendelijk te noemen voor 'niet techies', en zo kent VLC regelmatig problemen/ bugs, en deïnstallatie zou mogelijk problematisch kunnen zijn wegens integratie in WMP core componenten. En GOM Player heeft het onhebbelijke kantje dat het reguliere dvd's niet eens altijd goed aankan.
Meer over de pro's en con's van VLC media player en Gom Player en diverse andere media players vind je hier:
http://www.techsupportalert.com/best-free-windows-media-player-replacement.htm
Daarnaast hebben vooral regelmatig VLC maar ook af en toe GOM Player last van serieuze security kwetsbaarheden, en het duurt dan regelmatig geruime tijd voordat die gepatcht worden.
Zie bijvoorbeeld:
http://secunia.com/community/advisories/search/?search=VLC+media+player
http://secunia.com/community/advisories/search/?search=GOM+Player
Sommige gebruikers kiezen om bovenstaande redenen niet voor het installeren van een extra player zoals VLC media player of Gom Player, maar kiezen voor het gebruik van Windows Media Player (en eventueel Windows Media Center) die geschikt gemaakt wordt voor een ruim assortiment bestandsformaten door codecs te installeren, in de praktijk meestal een codec pack.
Het goed gebruiken van een codec pack kan ook nog lastig zijn, het verkeerde codec pack of een verkeerde configuratie kan een hoop verprutsen.
Een codec pack dat relatief simpel is te installeren en te configureren (wel eventjes goed de documentatie bestuderen), dat is een Shark007 codec pack.
http://shark007.net/
Ik gebruik het momenteel nog op een WinVista systeem en het functioneert heel prettig. Ik overweeg - of inmiddels: overwoog! - het binnenkort ook op een Win7 systeem te installeren.
Wel is het opletten met de adware.
Ik begrijp dat in sommige landen (USA en UK?) by default een Bing Toolbar wordt meegeïnstalleerd (aangegeven in de EULA), waarvan er dan niets anders opzit om die vervolgens maar te deïnstalleren. En daarnaast wordt bij installatie nog een tweetal adware aangeboden, waarvan je de installatie kunt afwijzen. In het recente verleden heeft daarmee het probleem bestaan dat zelfs bij het afwijzen van de adware die toch geïnstalleerd werd, maar dat probleem is opgelost, begrijp ik.
-------
Reacties (23)
12-01-2012, 15:36 door
SirDice
Door Spiff: Mijn vraag nu aan jullie:
Zit het waarschijnlijk wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of zien jullie dat anders?
Bedenk dat een codec een 'onbekende' stream data moet verwerken. Als die codec bugs heeft kun je door het slim manipuleren van die stream eventueel code uit laten voeren. Dat is natuurlijk wel afhankelijk van de aard van de bug maar helemaal uitgesloten is zoiets zeker niet.Zit het waarschijnlijk wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of zien jullie dat anders?
Wat is dan het risico? Een gemanipuleerde MP3 (bijvoorbeeld, het kan ook een ander soort stream zijn) die code bevat en uitgevoerd wordt op het moment dat je zo'n, op het eerste gezicht, onschuldige MP3 afspeelt. Dat heeft, naar mijn idee, overeenkomsten met een trojaans paard.
13-01-2012, 11:03 door
Spiff has left the building
Dank je voor je reactie, SirDice.
En als ook iemand anders nog inzichten heeft bij mijn vraagstelling, ik ben benieuwd naar jullie reacties.
Hartelijk bedankt alvast.
En als ook iemand anders nog inzichten heeft bij mijn vraagstelling, ik ben benieuwd naar jullie reacties.
Hartelijk bedankt alvast.
13-01-2012, 15:41 door
[Account Verwijderd]
[Verwijderd]
Ik gebruik K-lite codec, via Ninite.
Via Ninite kan je ook andere codecs en andere programmas (bijvoorbeeld Flash, Java, MBAM of SAS) kiezen.
De door jou gekozen Ninite-downloader, installeert alle updates zonder toolbars etcetera, en zonder tussenkomst.
Dus 1x per week Ninite en alles is bijgewerkt.
Groeten
Via Ninite kan je ook andere codecs en andere programmas (bijvoorbeeld Flash, Java, MBAM of SAS) kiezen.
De door jou gekozen Ninite-downloader, installeert alle updates zonder toolbars etcetera, en zonder tussenkomst.
Dus 1x per week Ninite en alles is bijgewerkt.
Groeten
15-01-2012, 21:59 door
Spiff has left the building
Door unbalanced, vr.13-1:
Zelf gebruik ik ook naar alle tevredenheid Shark's codec packs en vind het een goede vraag.
Ik heb nog nooit gehoord van een veiligheidslek door een lekke codec, maar dat zegt niets.
Zelf gebruik ik ook naar alle tevredenheid Shark's codec packs en vind het een goede vraag.
Ik heb nog nooit gehoord van een veiligheidslek door een lekke codec, maar dat zegt niets.
Ik ken wel gevallen van kwetsbaarheden gerelateerd aan codecs, maar het is me niet duidelijk of dat de codecs zelf betrof, of de programmatuur eromheen.
In de eerdergenoemde Shark007 forum thread
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
stipte ik een geval aan met K-Lite Codec Pack en ffdshow in november 2008, zie:
http://secunia.com/advisories/32881/
http://secunia.com/advisories/32846/
En er zijn opvallend vaak security updates voor FFmpeg. Maar ik weet niet of de ffmpeg.dll die aanwezig is in de Shark007 Vista Codec Package (ik weet nog niet of die ook aanwezig is in de Shark007 Windows 7 Codecs) een relatie heeft met de onderdelen die worden bijgewerkt met de FFmpeg security updates.
http://ffmpeg.org/
http://secunia.com/community/advisories/search/?search=FFmpeg
N.B. Vervolg in de volgende post, i.v.m. het aantal url's.
15-01-2012, 21:59 door
Spiff has left the building
Vervolg van de vorige post.
Daarnaast was er augustus en september 2010 sprake van diverse codec gerelateerde kwetsbaarheden die zijn gepatched door Microsoft. Ook daarbij is het voor mij niet goed duidelijk of het de codecs zelf betrof, of de programmatuur eromheen:
Vulnerability in Microsoft MPEG Layer-3 Codecs
http://technet.microsoft.com/en-us/security/bulletin/MS10-052
http://secunia.com/advisories/40934/
Vulnerability in Cinepak Codec
http://technet.microsoft.com/en-us/security/bulletin/MS10-055
http://secunia.com/advisories/40936/
Vulnerability in MPEG-4 Codec
http://technet.microsoft.com/en-us/security/bulletin/MS10-062
http://secunia.com/advisories/41395/
Al met al intrigerende materie, denk ik,
en daarom mijn bovenstaande post "Codec packs en security"
met als kernvraag "Hoe zit het met de security van codec packs?"
en als vervolgvraag
"Zit het waarschijnlijk wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of zien jullie dat anders?"
Daarnaast was er augustus en september 2010 sprake van diverse codec gerelateerde kwetsbaarheden die zijn gepatched door Microsoft. Ook daarbij is het voor mij niet goed duidelijk of het de codecs zelf betrof, of de programmatuur eromheen:
Vulnerability in Microsoft MPEG Layer-3 Codecs
http://technet.microsoft.com/en-us/security/bulletin/MS10-052
http://secunia.com/advisories/40934/
Vulnerability in Cinepak Codec
http://technet.microsoft.com/en-us/security/bulletin/MS10-055
http://secunia.com/advisories/40936/
Vulnerability in MPEG-4 Codec
http://technet.microsoft.com/en-us/security/bulletin/MS10-062
http://secunia.com/advisories/41395/
Al met al intrigerende materie, denk ik,
en daarom mijn bovenstaande post "Codec packs en security"
met als kernvraag "Hoe zit het met de security van codec packs?"
en als vervolgvraag
"Zit het waarschijnlijk wel snor met Shark007 codec packs en security, hebben die simpelweg zelden of nooit security updates nodig, of zien jullie dat anders?"
15-01-2012, 22:01 door
Spiff has left the building
Door Anoniem, za.14-1, 00:54 uur:
Ik gebruik K-lite codec, via Ninite.
Via Ninite kan je ook andere codecs en andere programmas (bijvoorbeeld Flash, Java, MBAM of SAS) kiezen.
De door jou gekozen Ninite-downloader, installeert alle updates zonder toolbars etcetera, en zonder tussenkomst.
Dus 1x per week Ninite en alles is bijgewerkt.
Ik gebruik K-lite codec, via Ninite.
Via Ninite kan je ook andere codecs en andere programmas (bijvoorbeeld Flash, Java, MBAM of SAS) kiezen.
De door jou gekozen Ninite-downloader, installeert alle updates zonder toolbars etcetera, en zonder tussenkomst.
Dus 1x per week Ninite en alles is bijgewerkt.
Vast wel handig, Ninite, maar de Shark007 codec packs kunnen daarmee niet worden geupdate.
En als het kon, dan vraag ik me af of dat wel zo verstandig zou zijn.
Want een eerder geïnstalleerd Shark007 codec pack moet worden gedeïnstalleerd voordat een nieuwe versie wordt geïnstalleerd, en het deïnstalleren moet gebeuren via de Shark007 Settings Application. Ik neem aan dat dat updaten door middel van Ninite uitsluit.
En daarnaast geldt voor codec packs wellicht hetzelfde als voor drivers: If it ain't broke, don't fix it. Het elke week vernieuwen van codec packs lijkt me onnodig wanneer het geen security updates of updates voor andere relevante problemen betreft.
De hierboven aangegeven vulnerabilities zijn wel degelijk vulnerabilities binnen de codec, niet binnen de applicatie. De meest complexe handelingen die plaatsvinden bij het afspelen van video's vinden plaats in de codec en bovendien worden codecs vaak geschreven door mensen die niet erg veel kaas gegeten hebben van security. Daarom komt het in de praktijk erg vaak voor dat codecs vulnerable zijn.
Zelf heb ik een tijdje met ffmpeg gewerkt en ik kan je het van harte afraden als je over een paar jaar nog haren op je hoofd wil hebben. Het is gewoon een teringzooi en het is echt een natte droom van menig hacker als ffmpeg ooit eens een substantiele userbase krijgt. Dat is de reden dat bijvoorbeeld google voor android niet ffmpeg gebruikt om media te decoden maar van scratch een eigen codec library heeft geschreven.
Om even terug te komen op je punt: op de website van shark007 staat onderaan dat er ffmpeg wordt gebruikt. Ik neem aan dat dit dus niets anders is dan een ffmpeg port voor windows en het is daarom van groot belang dat je dit up to date houdt.
Zelf heb ik een tijdje met ffmpeg gewerkt en ik kan je het van harte afraden als je over een paar jaar nog haren op je hoofd wil hebben. Het is gewoon een teringzooi en het is echt een natte droom van menig hacker als ffmpeg ooit eens een substantiele userbase krijgt. Dat is de reden dat bijvoorbeeld google voor android niet ffmpeg gebruikt om media te decoden maar van scratch een eigen codec library heeft geschreven.
Om even terug te komen op je punt: op de website van shark007 staat onderaan dat er ffmpeg wordt gebruikt. Ik neem aan dat dit dus niets anders is dan een ffmpeg port voor windows en het is daarom van groot belang dat je dit up to date houdt.
16-01-2012, 11:56 door
Spiff has left the building
Door Anoniem, ma.16-1, 00:01 uur:
De hierboven aangegeven vulnerabilities zijn wel degelijk vulnerabilities binnen de codec, niet binnen de applicatie.
De meest complexe handelingen die plaatsvinden bij het afspelen van video's vinden plaats in de codec en bovendien worden codecs vaak geschreven door mensen die niet erg veel kaas gegeten hebben van security. Daarom komt het in de praktijk erg vaak voor dat codecs vulnerable zijn.
Zelf heb ik een tijdje met ffmpeg gewerkt en ik kan je het van harte afraden als je over een paar jaar nog haren op je hoofd wil hebben. Het is gewoon een teringzooi en het is echt een natte droom van menig hacker als ffmpeg ooit eens een substantiele userbase krijgt. Dat is de reden dat bijvoorbeeld google voor android niet ffmpeg gebruikt om media te decoden maar van scratch een eigen codec library heeft geschreven.
Om even terug te komen op je punt: op de website van shark007 staat onderaan dat er ffmpeg wordt gebruikt. Ik neem aan dat dit dus niets anders is dan een ffmpeg port voor windows en het is daarom van groot belang dat je dit up to date houdt.
De hierboven aangegeven vulnerabilities zijn wel degelijk vulnerabilities binnen de codec, niet binnen de applicatie.
De meest complexe handelingen die plaatsvinden bij het afspelen van video's vinden plaats in de codec en bovendien worden codecs vaak geschreven door mensen die niet erg veel kaas gegeten hebben van security. Daarom komt het in de praktijk erg vaak voor dat codecs vulnerable zijn.
Zelf heb ik een tijdje met ffmpeg gewerkt en ik kan je het van harte afraden als je over een paar jaar nog haren op je hoofd wil hebben. Het is gewoon een teringzooi en het is echt een natte droom van menig hacker als ffmpeg ooit eens een substantiele userbase krijgt. Dat is de reden dat bijvoorbeeld google voor android niet ffmpeg gebruikt om media te decoden maar van scratch een eigen codec library heeft geschreven.
Om even terug te komen op je punt: op de website van shark007 staat onderaan dat er ffmpeg wordt gebruikt. Ik neem aan dat dit dus niets anders is dan een ffmpeg port voor windows en het is daarom van groot belang dat je dit up to date houdt.
Ja, Shark007 vermeldt duidelijk "This software uses code of FFmpeg".
Mijn kennis van codecs is echter veel te beperkt om te kunnen achterhalen wélke FFmpeg code precies wordt gebruikt.
In de Shark007 Vista Codec Package is in ieder geval een ffmpeg.dll aanwezig, zie ik. Ik weet nog niet of dat eveneens geldt voor de Shark007 Windows 7 Codecs, maar dat is wel aan te nemen.
Aan Shark007 schreef ik dan ook:
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
" Also there are quite frequently security updates for FFmpeg, but I don't know if the ffmpeg.dll that is present in the Shark007 Shark007 Vista Codec Package (I don't know about the Windows 7 Codecs) has any relation with the things that are updated with the FFmpeg security updates.
http://ffmpeg.org/
http://secunia.com/community/advisories/search/?search=FFmpeg "
Dit in de hoop dat Shark007 daarop zou reageren met uitleg betreffende wát hij precies gebruikt, en of hij op de hoogte is van het feit dat FFmpeg zo vaak security updates uitbrengt, en of hij die wel of niet opneemt in de Shark007 codec packs.
De Shark007 changelogs maken steeds melding van andere aanpassingen, maar ik zie opvallend genoeg géén vermeldingen van updates van de FFmpeg code, laat staan enige vermeldingen van security updates.
Zie de Shark007 changelog-geschiedenis via FileHippo:
http://www.filehippo.com/download_vista_codec_package/changelog/
http://www.filehippo.com/download_windows_7_codecs/changelog/
Shark007 bleef na zijn eerste reactie ("I have been using computers since the 70's and I cannot think of a single security update that was ever released for a codec") opvallend stil.
Ik weet niet of hij mijn vragen betreffend security met zijn eerste antwoord afdoende beantwoord acht, of dat hij de bezorgdheid betreffend mogelijke kwetsbaarheden in zijn codec packs maar irritant vindt en het daarom verder negeert.
Vanwege die mogelijkheid dat hij die aandacht voor security irritant vindt, heb ik het om de man niet nog meer te ergeren vooralsnog maar eventjes achterwege gelaten om ter voorbeeld tevens te wijzen op die in 2010 door Microsoft gepatchte vulnerabilities in Microsoft MPEG Layer-3 Codecs, Cinepak Codec en MPEG-4 Codec, maar ik houd het nog wel achter de hand als extra voorbeelden.
Beste Anoniem (de hierboven geciteerde) (of anderen, natuurlijk), mocht je er de tijd voor willen nemen om even een accountje aan te maken op het Shark007 forum en een bijdrage willen leveren in die bovenvermelde "Mentioning security updates in changelogs" thread op het Shark007 forum, dan zou dat bijzonder waardevol zijn, denk ik.
Zou het zo zijn dat Shark007 geen oog heeft voor de kwetsbaarheden in de gebruikte FFmpeg-code (en wie weet wat nog meer), dan is het belangrijk dat hij zich bewust wordt van die materie en de betreffende security fixes steeds doorvoert in de Shark007 codec packs én die security updates dan ook vermeld in de changelogs.
Alvast hartelijk bedankt voor je bijdrage.
16-01-2012, 16:17 door
Spiff has left the building
Nou, ik heb nu toch nog maar een aanvullende post geplaatst in mijn "Mentioning security updates in changelogs" thread op het Shark007 forum.
Kern:
" I don't say there's anything wrong with the Shark007 software, but I still think users may need more information about whether security updates that are implemented in source-software are also integrated in the Shark007 codec packs, and whether certain Shark007 updates should be considered as security updates."
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs?pid=25063#pid25063
Kern:
" I don't say there's anything wrong with the Shark007 software, but I still think users may need more information about whether security updates that are implemented in source-software are also integrated in the Shark007 codec packs, and whether certain Shark007 updates should be considered as security updates."
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs?pid=25063#pid25063
Ik zou me niet zo druk maken om de security updates. Probeer voor de gein eens 1Mb aan random data te decoden met ffmpeg, die crasht sowieso 1 op de 100 keer. Dus als je als hacker een vulnerability zoekt in ffmpeg ga je echt niet moeilijk doen met een bekende vulnerability, dan zoek je gewoon een nieuwe die nog niet bekend is.
Dat gezegd hebbende, de reden dat er geen wildgroei aan exploits voor ffmpeg is, is simpelweg omdat er een te kleine userbase is. Het loont gewoon niet om een exploit voor ffmpeg te schrijven. Dat is hetgene wat jou beschermt tegen geexploit worden, of je nou wel of niet de laatste versie draait is niet echt relevant.
Dat gezegd hebbende, de reden dat er geen wildgroei aan exploits voor ffmpeg is, is simpelweg omdat er een te kleine userbase is. Het loont gewoon niet om een exploit voor ffmpeg te schrijven. Dat is hetgene wat jou beschermt tegen geexploit worden, of je nou wel of niet de laatste versie draait is niet echt relevant.
17-01-2012, 15:27 door
Spiff has left the building
Door Anoniem, ma.16-1, 00:01 uur: [...]
Zelf heb ik een tijdje met ffmpeg gewerkt en ik kan je het van harte afraden als je over een paar jaar nog haren op je hoofd wil hebben. Het is gewoon een teringzooi en het is echt een natte droom van menig hacker als ffmpeg ooit eens een substantiele userbase krijgt. Dat is de reden dat bijvoorbeeld google voor android niet ffmpeg gebruikt om media te decoden maar van scratch een eigen codec library heeft geschreven.
Om even terug te komen op je punt: op de website van shark007 staat onderaan dat er ffmpeg wordt gebruikt. Ik neem aan dat dit dus niets anders is dan een ffmpeg port voor windows en het is daarom van groot belang dat je dit up to date houdt.
Zelf heb ik een tijdje met ffmpeg gewerkt en ik kan je het van harte afraden als je over een paar jaar nog haren op je hoofd wil hebben. Het is gewoon een teringzooi en het is echt een natte droom van menig hacker als ffmpeg ooit eens een substantiele userbase krijgt. Dat is de reden dat bijvoorbeeld google voor android niet ffmpeg gebruikt om media te decoden maar van scratch een eigen codec library heeft geschreven.
Om even terug te komen op je punt: op de website van shark007 staat onderaan dat er ffmpeg wordt gebruikt. Ik neem aan dat dit dus niets anders is dan een ffmpeg port voor windows en het is daarom van groot belang dat je dit up to date houdt.
Door Anoniem, ma.16-1, 19:26 uur:
Ik zou me niet zo druk maken om de security updates. Probeer voor de gein eens 1Mb aan random data te decoden met ffmpeg, die crasht sowieso 1 op de 100 keer. Dus als je als hacker een vulnerability zoekt in ffmpeg ga je echt niet moeilijk doen met een bekende vulnerability, dan zoek je gewoon een nieuwe die nog niet bekend is.
Dat gezegd hebbende, de reden dat er geen wildgroei aan exploits voor ffmpeg is, is simpelweg omdat er een te kleine userbase is. Het loont gewoon niet om een exploit voor ffmpeg te schrijven. Dat is hetgene wat jou beschermt tegen geexploit worden, of je nou wel of niet de laatste versie draait is niet echt relevant.
Ik zou me niet zo druk maken om de security updates. Probeer voor de gein eens 1Mb aan random data te decoden met ffmpeg, die crasht sowieso 1 op de 100 keer. Dus als je als hacker een vulnerability zoekt in ffmpeg ga je echt niet moeilijk doen met een bekende vulnerability, dan zoek je gewoon een nieuwe die nog niet bekend is.
Dat gezegd hebbende, de reden dat er geen wildgroei aan exploits voor ffmpeg is, is simpelweg omdat er een te kleine userbase is. Het loont gewoon niet om een exploit voor ffmpeg te schrijven. Dat is hetgene wat jou beschermt tegen geexploit worden, of je nou wel of niet de laatste versie draait is niet echt relevant.
Gedeeltelijk zeggen jullie hetzelfde, de userbase van FFmpeg is te klein om het interessant te maken er exploits voor te ontwikkelen. Anoniem '2' geeft aan dat dat is wat bescherming biedt, en dat het niet echt relevant is of steeds geupdate wordt naar de laatste versie. Anoniem '1' verschilde daarin echter van mening, en stelde dat het gezien het gebruiken van FFmpeg code in Shark007 codec packs van belang is de Shark007 software goed up to date te houden.
(Gezien die verschillende opstelling neem ik aan dat het reacties van twee verschillende personen betrof.)
Wat betreft de beperkte FFmpeg userbase, ik neem aan dat dat klopt. FFmpeg lijkt me niet bepaald gebruiksvriendelijk genoeg voor gebruik door een brede gebruikersgroep.
Maar voor Shark007 codec packs ligt dat wellicht anders. Het gebruiksgemak daarvan is vrij groot. (Wanneer je de documentatie bekeken hebt, en weet dat je na installatie de Settings Application moet uitvoeren als Administrator en tevens Windows Filetype Associations moet bevestigen, en dat je voor updaten eerst moet deïnstalleren via de Settings Application, dan kan een kind de was doen.) De populariteit van de Shark007 codec packs neemt daardoor toe. En gezien het gebruik van FFmpeg code in Shark007 codec packs neemt daarmee ook de toepassing van FFmpeg toe.
Ik kan niet goed inschatten hoe lang het duurt voordat FFmpeg daarmee mogelijk toch een interessante aanvalsvector kan gaan worden. Zou het op een gegeven moment best interessant beginnen te worden exploits te ontwikkelen voor FFmpeg, en zou het onverhoopt zo zijn dat Shark007 de security updates voor FFmpeg niet altijd doorvoert in de Shark007 codec packs, of ze niet als zodanig meldt via de changelogs, dan zou dat een extra risicofactor zijn.
Voor het moment dus wellicht weinig risico, door de beperkte FFmpeg en Shark007 userbase,
maar dat Shark007 slechts eenmalig kortaf en knorrig reageerde in de forum-thread waarin ik aangaf dat er een gebrek aan duidelijkheid bestaat over het in de Shark007 codec packs integreren van security updates voor de bron-software, dat vind ik toch wat zorgelijk. Ik houd er niet zo van wanneer een ontwikkelaar er op een belangrijk punt grotendeels het zwijgen toe wenst te doen.
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs
Een ander zoekopdrachtje laat ook een eerdere thread zien die mogelijk ook relevant kan zijn;
https://encrypted.google.com/search?client=ubuntu&channel=fs&q=changelog+site%3Ashark007.net&ie=utf-8&oe=utf-8
https://encrypted.google.com/search?client=ubuntu&channel=fs&q=changelog+site%3Ashark007.net&ie=utf-8&oe=utf-8
17-01-2012, 17:45 door
Spiff has left the building
@ Anoniem 16:48 uur,
Bedoelde je deze thread?
http://shark007.net/forum/Thread-Better-changelog-info
Die thread is niet zozeer security gerelateerd, maar betreft inderdaad eveneens een verzoek om gedetailleerder changelogs.
En eveneens laat het zien hoe de stijl van reageren van Shark007 is - mijns inziens weinig begripvol en nogal knorrig.
Bedoelde je deze thread?
http://shark007.net/forum/Thread-Better-changelog-info
Die thread is niet zozeer security gerelateerd, maar betreft inderdaad eveneens een verzoek om gedetailleerder changelogs.
En eveneens laat het zien hoe de stijl van reageren van Shark007 is - mijns inziens weinig begripvol en nogal knorrig.
17-01-2012, 22:04 door
Spiff has left the building
Nou, lekker dan,
Shark007 heeft mijn thread op zijn forum gesloten,
met zijn commentaar:
" I'll quote myself ...
I'm sorry to hear that you are so insecure
and lock this thread because I do not wish to entertain your insecurities any further."
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs?pid=25083#pid25083
Wat mijns inziens bevestigt wat ik eerder al aangaf over de stijl van de persoon achter Shark007.
Shark007 heeft mijn thread op zijn forum gesloten,
met zijn commentaar:
" I'll quote myself ...
I'm sorry to hear that you are so insecure
and lock this thread because I do not wish to entertain your insecurities any further."
http://shark007.net/forum/Thread-Mentioning-security-updates-in-changelogs?pid=25083#pid25083
Wat mijns inziens bevestigt wat ik eerder al aangaf over de stijl van de persoon achter Shark007.
Spiff 22.04
Wow, dat is wel een eye-opener.
Hebt u enig advies welke codec dan veiliger is ?
VLC installeren, K-Lite, of alles bij MS houden (en via MS-update)?
Groeten
Wow, dat is wel een eye-opener.
Hebt u enig advies welke codec dan veiliger is ?
VLC installeren, K-Lite, of alles bij MS houden (en via MS-update)?
Groeten
18-01-2012, 01:23 door
Army
Door Spiff:
...
Wat mijns inziens bevestigt wat ik eerder al aangaf over de stijl van de persoon achter Shark007.
Het zegt ook wat over jou en hij heeft wel een punt. Want waarom maak jij je zorgen over security updates als je code draait van derde zonder enige controle. Hij is op dat punt even betrouwbaar als een 419 uit A'dam-Zuidoost. Daarbij hij zegt dat hij GPL 2.0 code gebruikt van ffmpeg, maar nergens is zijn code te vinden zo te zien. Dit even aanmelden bij de rechthebbende lijkt me een ideale manier om dit zijn nek te draaien om eerlijk te zijn....
Wat mijns inziens bevestigt wat ik eerder al aangaf over de stijl van de persoon achter Shark007.
Iemand mening over VLC player?
Speelt echt alles
Zitten codecs bij/in
Veilig?
Speelt echt alles
Zitten codecs bij/in
Veilig?
Door Army:
Hij heeft zeker geen punt.Door Spiff:
...
Wat mijns inziens bevestigt wat ik eerder al aangaf over de stijl van de persoon achter Shark007.
Het zegt ook wat over jou en hij heeft wel een punt. Want waarom maak jij je zorgen over security updates als je code draait van derde zonder enige controle. Hij is op dat punt even betrouwbaar als een 419 uit A'dam-Zuidoost. Daarbij hij zegt dat hij GPL 2.0 code gebruikt van ffmpeg, maar nergens is zijn code te vinden zo te zien. Dit even aanmelden bij de rechthebbende lijkt me een ideale manier om dit zijn nek te draaien om eerlijk te zijn....
Wat mijns inziens bevestigt wat ik eerder al aangaf over de stijl van de persoon achter Shark007.
Als je niet wil dat mensen commentaar geven dan moet je geen forum gaan hosten.
Duidelijk dat meneer op zijn pik getrapt is en geen kritiek kan hebben.
Hij weet waarschijnlijk ook wel dat als hij toegeeft dat er wel degelijk issues kunnen zijn, zijn hele website in elkaar stort.
Dus categorisch ontkennen en elk topic gelijk sluiten zodat er niet over gepraat wordt is zijn taktiek.
18-01-2012, 13:08 door
Spiff has left the building
Door Anoniem, di.17-1, 23:52 uur:
Hebt u enig advies welke codec dan veiliger is ?
VLC installeren, K-Lite, of alles bij MS houden (en via MS-update)?
Ik zeg niet dat de Shark007 codec packs onveilig zijn.Hebt u enig advies welke codec dan veiliger is ?
VLC installeren, K-Lite, of alles bij MS houden (en via MS-update)?
Ik geef slechts aan dat daar bij mij onduidelijkheid over bestaat.
Shark007 heeft echter geen zin in een open gesprek of discussie daarover, zo blijkt, en dat heeft tot gevolg dat ik inmiddels weinig vertrouwen meer heb in zijn persoon en daardoor tevens in zijn software.
Jammer, want buiten de onduidelijkheid betreffende security zijn de Shark007 codec packs beslist een prettig product.
En ik kan geen adviezen geven.
Ik heb me niet gericht op K-Lite, ik kan daarover niets zeggen.
Zelf zal ik naast Windows Media Player GOM Player gaan gebruiken. GOM Player speelt bijna elk videobestand af, zonder de noodzaak een extern codec pack te installeren, net zoals VLC media player. GOM Player heeft voor mij de voorkeur boven VLC media player vanwege wat ik in mijn startbericht al schreef: VLC media player heeft nogal eens ingewikkelde instellingen nodig en is daardoor wellicht minder gebruiksvriendelijk voor 'niet techies', VLC kent regelmatig problemen/ bugs, en deïnstallatie van VLC media player zou mogelijk problematisch kunnen zijn wegens integratie in WMP core componenten.
Door Anoniem, wo.18-1, 10:10 uur:
Iemand mening over VLC player?
Speelt echt alles
Zitten codecs bij/in
Veilig?
Populaire en prima media player. Voor mij de tweede keus direct na GOM Player, om de redenen die ik hierboven aangaf.Iemand mening over VLC player?
Speelt echt alles
Zitten codecs bij/in
Veilig?
Wat veiligheid betreft, VLC media player lijkt vaker dan GOM Player last te hebben van serieuze security kwetsbaarheden, en het duurt regelmatig geruime tijd voordat die gepatcht worden.
Zie ter vergelijking:
http://secunia.com/community/advisories/search/?search=VLC+media+player
http://secunia.com/community/advisories/search/?search=GOM+Player
Mede daarom voor mij liever GOM Player, maar met VLC media player is in essentie niets mis.
Door Anoniem, wo.18-1, 10:35 uur, over Shark007:
Als je niet wil dat mensen commentaar geven dan moet je geen forum gaan hosten.
Duidelijk dat meneer op zijn pik getrapt is en geen kritiek kan hebben.
Hij weet waarschijnlijk ook wel dat als hij toegeeft dat er wel degelijk issues kunnen zijn, zijn hele website in elkaar stort.
Dus categorisch ontkennen en elk topic gelijk sluiten zodat er niet over gepraat wordt is zijn taktiek.
Ik wilde het vooralsnog zelf niet zo nadrukkelijk stellen, maar ik denk dat je wel eens gelijk zou kunnen hebben.Als je niet wil dat mensen commentaar geven dan moet je geen forum gaan hosten.
Duidelijk dat meneer op zijn pik getrapt is en geen kritiek kan hebben.
Hij weet waarschijnlijk ook wel dat als hij toegeeft dat er wel degelijk issues kunnen zijn, zijn hele website in elkaar stort.
Dus categorisch ontkennen en elk topic gelijk sluiten zodat er niet over gepraat wordt is zijn taktiek.
Door de manier van doen van meneer Shark007 heeft ie mijn vertrouwen verloren.
N.B.
Met het starten van deze thread, mijn post, en met mijn vervolgreacties, wil ik beslist niet aangeven dat er iets mis zou zijn met de Shark007 software, en ik wil dan ook niemand bewust stimuleren de Shark007 codec packs aan de kant te doen.
Wel denk ik dat de Shark007 codec pack gebruikers meer informatie nodig hebben over de vraag of de beveiligingsupdates die zijn geïmplementeerd in de bron-software ook geïntegreerd zijn in de Shark007 codec packs en of bepaalde Shark007 updates wellicht moeten worden beschouwd als beveiligingsupdates.
Mocht iemand op grond van al het bovenstaande en op basis van de eigen afwegingen besluiten af te stappen van de Shark007 codec packs, en die te deïnstalleren, houd dan wel goed rekening met het volgende:
1. Maak vóór het definitief deïnstalleren van de Shark007 software de eventueel gemaakte bestandsassociaties ongedaan, via de Shark007 Settings Application (N.B. uitvoeren als Administrator!), Help tab, Windows Filetype Associations, Revert Association.
2. Zekerheidshalve, ik weet niet of het noodzakelijk is: Open vervolgens na elkaar vanuit élk gebruikersaccount de Shark007 Settings Application, nu zónder dat te doen 'als Administrator', en sluit die vervolgens weer; deze handeling om zeker te stellen dat de onder punt 1 gemaakte instelling wordt overgenomen voor alle gebruikersaccounts.
3. Deïnstalleer vervolgens éérst de eventueel geïnstalleerde Shark007 x64 Components addon, N.B. via de x64 Components Settings Application, als Administrator.
4. Deïnstalleer ten slotte het Shark007 codec pack, N.B. via de 32 bit Settings Application, als Administrator.
Nogmaals, ik adviseer niets, wat je op grond van al het bovenstaande doet dat moet je zelf afwegen en is je eigen keuze.
[Wijziging: Punt 2 hierboven is een aanvulling, dat punt was ik in eerste instantie vergeten.]
18-01-2012, 17:59 door
[Account Verwijderd]
[Verwijderd]
Idd, dank spiff voor de opmerkingen over VLC player
Heb de zelfde ervaringen
Ik gebruikte eerst Gom, maar omdat ik vaak tcp view heb draaien, gewoon om te kijken wat mijn pc met netwerk doet
Ontdekte ik dat Gom af en toe verbinding maakt, zonder dat ik kan ontdekken waarvoor
Ook met alle update functies uit
Vervolgens VLC player installed, ik zie geen verbinding, het doet alles correct en draait alles goed, ook op een mac(bah)
Nu was het kerstmis, en tot mijn grote verbazing heeft het kegeltje midden in het beeld een kerstmutsjes gekregen!!!!!
Noujaaaaaaazeg, zonder netwerk acties?, vast niet goed opgelet
Ik mij ergeren, en de hele zooi write protect gezet, FW rules aangepast, ik denk zo!
Na de kerst, HOP, WEG kerstmutsje!!!!!!!!
GRRRRRRRRRR
Heb de zelfde ervaringen
Ik gebruikte eerst Gom, maar omdat ik vaak tcp view heb draaien, gewoon om te kijken wat mijn pc met netwerk doet
Ontdekte ik dat Gom af en toe verbinding maakt, zonder dat ik kan ontdekken waarvoor
Ook met alle update functies uit
Vervolgens VLC player installed, ik zie geen verbinding, het doet alles correct en draait alles goed, ook op een mac(bah)
Nu was het kerstmis, en tot mijn grote verbazing heeft het kegeltje midden in het beeld een kerstmutsjes gekregen!!!!!
Noujaaaaaaazeg, zonder netwerk acties?, vast niet goed opgelet
Ik mij ergeren, en de hele zooi write protect gezet, FW rules aangepast, ik denk zo!
Na de kerst, HOP, WEG kerstmutsje!!!!!!!!
GRRRRRRRRRR
19-01-2012, 12:46 door
Spiff has left the building
Als reactie op Anoniem van wo.18-1, 23:50 uur
(en off-topic bij Shark007 codecs en security, maar on-topic i.v.m. de genoemde GOM en VLC media players):
Wat betreft het maken van verbinding door GOM Player, dat zou wellicht wel eens kunnen zijn in verband met het vernieuwen van de tekst in het zwarte reclamestrookje onderin de GUI, vermoed ik. (Watch zus of zo on GomTV.net! Click here!)
Hindert het je dat GOM dat doet, wellicht kun je dan alle verbindingen die GOM Player kan maken blokkeren via de firewall, de GOM-regels in je firewall instellen op 'altijd opnieuw vragen'. De mogelijkheid om GOM Player je een eventueel ontbrekende codec aan te laten bieden via Codec Finder wil je wellicht niet blokkeren.
En wat betreft VLC media player, de opmerkingen die ik erover maakte waren niet op basis van eigen ervaring, maar op basis van verzamelde informatie, onder meer van techsupportalert.com en secunia.com (zie met name mijn start-bericht, en mijn bericht van gisteren 13:01 uur).
Wat betreft het kerstmutsje, dat in december op het VLC icoontje geplaatst werd, ja, dat had ik inderdaad ergens gelezen. Sommigen vinden zoiets leuk, anderen irritant. Maar ik weet niet of het bewijst zien dat VLC media player internetverbinding maakt. Het zou ook in het programma gecodeerd kunnen zitten. Mogelijk is het kerstmutsjes-gedrag uit te schakelen.
(en off-topic bij Shark007 codecs en security, maar on-topic i.v.m. de genoemde GOM en VLC media players):
Wat betreft het maken van verbinding door GOM Player, dat zou wellicht wel eens kunnen zijn in verband met het vernieuwen van de tekst in het zwarte reclamestrookje onderin de GUI, vermoed ik. (Watch zus of zo on GomTV.net! Click here!)
Hindert het je dat GOM dat doet, wellicht kun je dan alle verbindingen die GOM Player kan maken blokkeren via de firewall, de GOM-regels in je firewall instellen op 'altijd opnieuw vragen'. De mogelijkheid om GOM Player je een eventueel ontbrekende codec aan te laten bieden via Codec Finder wil je wellicht niet blokkeren.
En wat betreft VLC media player, de opmerkingen die ik erover maakte waren niet op basis van eigen ervaring, maar op basis van verzamelde informatie, onder meer van techsupportalert.com en secunia.com (zie met name mijn start-bericht, en mijn bericht van gisteren 13:01 uur).
Wat betreft het kerstmutsje, dat in december op het VLC icoontje geplaatst werd, ja, dat had ik inderdaad ergens gelezen. Sommigen vinden zoiets leuk, anderen irritant. Maar ik weet niet of het bewijst zien dat VLC media player internetverbinding maakt. Het zou ook in het programma gecodeerd kunnen zitten. Mogelijk is het kerstmutsjes-gedrag uit te schakelen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
