Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
GOM Player security update
Vorige week, 17 juni, is een nieuwe versie van GOM Player uitgegeven,
GOM Player 2.2.62.5205, zie:
http://player.gomlab.com/eng/notice/view.gom?intseq=289
Echter, bij navraag bij GOM Media Player Support bleek dat in die GOM Player versie 2.2.62.5205 van 17 juni niet deze kwetsbaarheid was opgelost:
http://packetstormsecurity.com/files/126548/GOM-Player-2.2.57.5189-Memory-Corruption.html
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3216
http://secunia.com/advisories/58274/
GOM Media Player Support bedankte me voor het onder hun aandacht brengen van die kwetsbaarheid.
Het lijkt erop dat niemand Gretech Corp./ GOMlab eerder van die kwetsbaarheid op de hoogte had gebracht en Gretech Corp./ GOMlab de melding gemist had.
GOM Media Player Support gaf op 20 juni aan dat een nieuwe uitgifte van de installer beschikbaar is gemaakt met een patch om de betreffende kwetsbaarheid te verhelpen.
Let op:
Die nieuwe uitgifte van de GOM Player installer heeft hetzelfde versienummer 2.2.62.5205 als de uitgifte van 17 juni.
De uitgifte van 17 juni was 16.328.824 bytes groot, de uitgifte van 19 juni is 13.414.488 bytes groot.
Wie vóór 19 of 20 juni GOM Player heeft geïnstalleerd of geupdate, die kan de nieuwste uitgifte van het installatiebestand downloaden en installeren om het programma te updaten en daarmee die betreffende kwetsbaarheid te verhelpen.
Het nieuwe GOM Player installatiebestand is hier te downloaden:
https://app.gomlab.com/eng/gom/GOMPLAYERENSETUP.EXE
Ik heb op 20 juni Gretech Corp./ GOMlab/ GOM Media Player Support aangegeven dat het veel beter zou zijn wanneer een nieuwe versie/build uitgegeven zou worden, met een nieuw versie/build-nummer, in plaats van het installatiebestand aan te passen en het versie/build-nummer hetzelfde te laten.
Immers, veel GOM Player gebruikers zullen het programma al tussen 17 en 19 juni hebben geupdate naar versie 2.2.62.5205 en onwetend zijn van de aanpassing op 19 juni en daarmee de update van 19 juni missen.
Als Gretech Corp./ GOMlab een nieuwe versie/build uitgeeft met een nieuw versie/build-nummer, dan kunnen alle gebruikers van die update profiteren.
Ik heb op mijn suggestie tot op dit moment nog geen reactie ontvangen van GOM Media Player Support.
Ik weet niet hoe Gretech Corp./ GOMlab zal handelen.
Op mijn melding en vraag betreffende de genoemde kwetsbaarheid werd vorige week zeer vlot gereageerd met de genoemde aanpassing, maar ik weet niet of hetzelfde zal gelden voor mijn suggestie een nieuwe versie/build uit te brengen.
Voor dit moment is het wijs om zelf te handelen en de versie te installeren zoals die nu wordt aangeboden.
UPDATE 25-06:
Inmiddels is daadwerkelijk een nieuwe versie van GOM Player uitgegeven,
waarin een (wellicht de bovengenoemde) security issue wordt opgelost.
Lees:
http://player.gomlab.com/eng/notice/view.gom?intseq=293
Wie eerder versie 2.2.62.5205 had geïnstalleerd wordt een clean install geadviseerd, zoals hier beschreven onder 2:
http://player.gomlab.com/eng/support/faq/view.gom?intseq=168
Download:
https://app.gomlab.com/eng/gom/GOMPLAYERENSETUP.EXE
GOM Player 2.2.62.5205, zie:
http://player.gomlab.com/eng/notice/view.gom?intseq=289
Echter, bij navraag bij GOM Media Player Support bleek dat in die GOM Player versie 2.2.62.5205 van 17 juni niet deze kwetsbaarheid was opgelost:
http://packetstormsecurity.com/files/126548/GOM-Player-2.2.57.5189-Memory-Corruption.html
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3216
http://secunia.com/advisories/58274/
GOM Media Player Support bedankte me voor het onder hun aandacht brengen van die kwetsbaarheid.
Het lijkt erop dat niemand Gretech Corp./ GOMlab eerder van die kwetsbaarheid op de hoogte had gebracht en Gretech Corp./ GOMlab de melding gemist had.
GOM Media Player Support gaf op 20 juni aan dat een nieuwe uitgifte van de installer beschikbaar is gemaakt met een patch om de betreffende kwetsbaarheid te verhelpen.
Let op:
Die nieuwe uitgifte van de GOM Player installer heeft hetzelfde versienummer 2.2.62.5205 als de uitgifte van 17 juni.
De uitgifte van 17 juni was 16.328.824 bytes groot, de uitgifte van 19 juni is 13.414.488 bytes groot.
Wie vóór 19 of 20 juni GOM Player heeft geïnstalleerd of geupdate, die kan de nieuwste uitgifte van het installatiebestand downloaden en installeren om het programma te updaten en daarmee die betreffende kwetsbaarheid te verhelpen.
Het nieuwe GOM Player installatiebestand is hier te downloaden:
https://app.gomlab.com/eng/gom/GOMPLAYERENSETUP.EXE
Ik heb op 20 juni Gretech Corp./ GOMlab/ GOM Media Player Support aangegeven dat het veel beter zou zijn wanneer een nieuwe versie/build uitgegeven zou worden, met een nieuw versie/build-nummer, in plaats van het installatiebestand aan te passen en het versie/build-nummer hetzelfde te laten.
Immers, veel GOM Player gebruikers zullen het programma al tussen 17 en 19 juni hebben geupdate naar versie 2.2.62.5205 en onwetend zijn van de aanpassing op 19 juni en daarmee de update van 19 juni missen.
Als Gretech Corp./ GOMlab een nieuwe versie/build uitgeeft met een nieuw versie/build-nummer, dan kunnen alle gebruikers van die update profiteren.
Ik heb op mijn suggestie tot op dit moment nog geen reactie ontvangen van GOM Media Player Support.
Ik weet niet hoe Gretech Corp./ GOMlab zal handelen.
Op mijn melding en vraag betreffende de genoemde kwetsbaarheid werd vorige week zeer vlot gereageerd met de genoemde aanpassing, maar ik weet niet of hetzelfde zal gelden voor mijn suggestie een nieuwe versie/build uit te brengen.
Voor dit moment is het wijs om zelf te handelen en de versie te installeren zoals die nu wordt aangeboden.
UPDATE 25-06:
Inmiddels is daadwerkelijk een nieuwe versie van GOM Player uitgegeven,
waarin een (wellicht de bovengenoemde) security issue wordt opgelost.
Lees:
http://player.gomlab.com/eng/notice/view.gom?intseq=293
Wie eerder versie 2.2.62.5205 had geïnstalleerd wordt een clean install geadviseerd, zoals hier beschreven onder 2:
http://player.gomlab.com/eng/support/faq/view.gom?intseq=168
Download:
https://app.gomlab.com/eng/gom/GOMPLAYERENSETUP.EXE
Reacties (5)
Goede tip Spiff, echt bizar dat ze daar geen nieuw versie-nummer aan hebben gehangen!
24-06-2014, 11:04 door
Spiff has left the building
Door Anoniem, ma.23-6, 23:14 uur:
echt bizar dat ze daar geen nieuw versie-nummer aan hebben gehangen!
Misschien gebeurt het nog. Tussen mijn nadrukkelijke suggestie om beter een versie met nieuw versie/build-nummer uit te brengen en dit moment zit een weekend (en diverse uren tijdverschil met Korea). Ik sluit niet uit dat er vandaag of morgen nog wat gebeurt.echt bizar dat ze daar geen nieuw versie-nummer aan hebben gehangen!
Maar het is ook niet uit te sluiten dat Gretech Corp./ GOMlab de kwetsbaarheid als weinig riskant beschouwt, niet erg makkelijk te misbruiken, en de patch pas formeel bekend maakt met de volgende update.
Er zijn meer software-aanbieders die tussentijdse aanpassingen maken zonder het versienummer aan te passen (denk ook aan de tussentijdse aanpassing van EMET 4.1 Update 1, https://www.security.nl/posting/386805#posting389868).
Echter, met een security patch is zo'n praktijk van tussentijds patchen zonder het versienummer aan te passen natuurlijk niet bepaald zorgvuldig te noemen, of zo'n kwetsbaarheid nou wel of niet makkelijk te misbruiken is.
Ik gebruik GOM Player onder meer omdat VLC media player meerdere keren ronduit laat was met patches voor kwetsbaarheden en GOM Player altijd netjes vlot gepatched werd, maar deze praktijk met een tussentijdse 'stille' patch is onzorgvuldig te noemen.
25-06-2014, 14:46 door
Spiff has left the building
Inmiddels is daadwerkelijk een nieuwe versie van GOM Player uitgegeven,
waarin een (wellicht de bovengenoemde) security issue wordt opgelost.
Lees:
http://player.gomlab.com/eng/notice/view.gom?intseq=293
Wie eerder versie 2.2.62.5205 had geïnstalleerd wordt een clean install geadviseerd, zoals hier beschreven onder 2:
http://player.gomlab.com/eng/support/faq/view.gom?intseq=168
Download:
https://app.gomlab.com/eng/gom/GOMPLAYERENSETUP.EXE
waarin een (wellicht de bovengenoemde) security issue wordt opgelost.
Lees:
http://player.gomlab.com/eng/notice/view.gom?intseq=293
Wie eerder versie 2.2.62.5205 had geïnstalleerd wordt een clean install geadviseerd, zoals hier beschreven onder 2:
http://player.gomlab.com/eng/support/faq/view.gom?intseq=168
Download:
https://app.gomlab.com/eng/gom/GOMPLAYERENSETUP.EXE
Gom Player wil niet installeren op Windows 10 Pro Insider Preview (build 10130)
06-06-2015, 21:06 door
Spiff has left the building
Door Anoniem, 18:27 uur:
Gom Player wil niet installeren op Windows 10 Pro Insider Preview (build 10130)
Hum.Gom Player wil niet installeren op Windows 10 Pro Insider Preview (build 10130)
Dat heeft uiteraard geen relatie met waar een jaar geleden deze thread over ging.
Buiten dat, Gretech Corp. vermeldt voor GOM Media Player dat het geschikt is voor
Microsoft Windows 8.1 (32 / 64bit), 8 (32 / 64bit), Windows 7 (32 / 64bit), Vista (32 / 64bit), XP SP2 or higher(32 / 64bit)
http://player.gomlab.com/eng/overview/Nog niet voor voor Windows 10 dus, laat staan voor de Insider Preview.
Misschien wordt het later ondersteund wanneer Windows 10 daadwerkelijk uitgegeven wordt.
Zekerheidshalve kun je je bevinding doorgeven aan GOM Media Player Support, via
http://player.gomlab.com/eng/support/supportcenter/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
