Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software als Kodi en VLC is kwetsbaar voor hack via kwaadaardige ondertitels

Door , 153 reacties, submitter: cowbalt

Beveiligingsonderzoekers zeggen dat het mogelijk is om de controle over apparaten met mediaspelersoftware als Kodi, VLC, Popcorn Time en Stremio volledig over te nemen. Dat doen zij met behulp van ondertitels die kwaadaardige code bevatten.

De onderzoekers van Check Point hebben hun bevindingen in een blog gepubliceerd en demonstreren in een video hoe zij met een kwaadaardig ondertitelbestand computers met Kodi of Popcorn Time volledig over kunnen nemen. In het geval van Popcorn Time wordt de ondertitel automatisch gedownload, bij Kodi kan een gebruiker de geïnfecteerde ondertitels binnenkrijgen via bijvoorbeeld OpenSubtitles.org. De onderzoekers stellen dat zij het algoritme van dergelijke websites kunnen manipuleren zodat hun kwaadaardige ondertitel hoog wordt weergegeven in de zoekresultaten.

Volgens de onderzoekers zijn de mediaspelers kwetsbaar omdat er meer dan 25 verschillende bestandsformaten voor ondertitels in gebruik zijn, met ieder unieke features en mogelijkheden. Omdat de software met al die bestanden om moet kunnen gaan, is er een grote hoeveelheid kwetsbaarheden. Technische details maken de onderzoekers niet bekend, omdat zij makers van mediaspelersoftware de kans willen geven om de kwetsbaarheden op te lossen.

Kodi, VLC, Popcorn Time en Stremio zijn de platforms waarop de onderzoekers hun hack hebben getest, maar zij verwachten dat veel andere mediaspelers ook kwetsbaar zijn. De genoemde partijen zijn vooraf ingelicht en hebben de kwetsbaarheden volgens Check Point al deels opgelost, terwijl er nog verder onderzoek wordt gedaan. VLC en Stremio hebben al updates van hun software uitgebracht om de kwetsbaarheid te verhelpen. Het team achter Kodi zegt tegen TorrentFreak dat deze week versie 17.2 van Kodi verschijnt, waarmee de kwetsbaarheid aangepakt wordt.

Update 21:07: Kodi heeft versie 17.2 inmiddels uitgebracht.

Door Julian Huijbregts

Nieuwsredacteur

23-05-2017 • 20:22

153 Linkedin Google+

Submitter: cowbalt

Reacties (153)

Wijzig sortering
Voor de gebruikers van VLC: check handmatig even je versie nummer. Ik zat op 2.2.4 en deze geeft aan geen update nodig te hebben (U heeft de nieuwste versie bij update controle). Versie 2.2.5.1 is echter al beschikbaar.
http://www.videolan.org/vlc/download-windows.html
LETOP Acestream gebaseerd op Vlc 2.0.5 is dus niet geupdate mocht er hiervan gebruik worden gemaakt inplaats van Vlc
VLC wordt dat nog veel gebruikt? Ik gebruik gewoon die van Windows werkt perfect.
Niet iedereen werkt met windows he?
Android versie VLC is van augustus 2016. Of is het alleen een Windows probleem?
Nee, de Mac en Linux versie zijn ook geupdate.

Ga er maar van uit dat als de Android VLC ondersteuning heeft voor subtitles (middels de LUA extensie VLSub) dat deze ook kwetsbaar is. Want zonder VLSub is het wel erg lastig om subs binnen te harken.
Yup dat wordt nog steeds heel veel gebruikt.
Windows is prima maar wil je uitgebreidere codes (Audio en video) gebruiken kom je toch bij iets als VLC uit.
Gebruik zelf liever MPC (BE).
VLC kan makkelijk native met bepaalde formaten omgaan waar WMP nog steeds moeite mee heeft zoals .mkv. Het wordt wel geopend, maar de ondertiteling ervan is dan opeens pleite in sommige gevallen terwijl die wel bij VLC weergegeven worden.

Vooral anime heeft dit probleem, en is VLC de betere oplossing.
Exacte cijfers heb ik niet, maar ik heb een sterk vermoeden dat VLC één van de meest gebruikte videospelers is.

Het is een beest van een videospeler en doordat het gratis en opensource is, is het veel in gebruikt bij bedrijven en organisaties.

Als video professional is het mijn weapon of choice zowel zakelijk als prive.
Ik vind VLC nog steeds een heerlijke applicatie. Ook op W10. Lekker licht, lekker snel, geen onnodige rommel, en ook niet allerhande verwijzingen naar rottige streamingdiensten of andere BS. Drag and drop in een playlist is ook handig, en je kan er letterlijk alles mee.

Zoals het hoort.

[Reactie gewijzigd door Vayra op 24 mei 2017 09:26]

Die van Windows is dan misschien wel aardig, ik mis daar features. Het automatisch vragen of je verder wil gaan met afspelen van een bestand, mogelijkheid tot kiezen van audio-output device en die wijzigen tijdens het afspelen, streams openen, etc.
Daar kan je niet alles bestanden mee afspelen, met VLC grotendeels wel. O-)
Welke Windows?

W10 had in eerste instantie geen mediaspeler die DVDs kan afspelen.

VLC is misschien niet de gebruiksvriendelijkste, maar het speelt wel bijna alles probleemloos af zonder met codecpacks te frutsen. Het zit in mijn standaard softwarepakket voor nieuw geherinstalleerde PCs op werk.

Het komt niet zo vaak voor dat er een schijfje moet worden afgespeeld, maar de functie moet wel behouden worden voor het geval dat.
VLC word nog steeds veel gebruikt ja, er zijn nog steeds weinig concurrenten die zoveel video formaten ondersteunen als VLC.

(Heb zelf tot nu toe maar 1 gevonden die zich een beetje kan meten qua video support (SMPlayer) maar vervolgens is de UI en het gebruik van dat programma duidelijk een stuk minder kwalitatief)
Oke, maar als dit sinds vandaag bekend is, neem ik aan dat in 2.2.5.1 dit probleem nog niet is opgelost?
De onderzoekers hebben de makers van een reeks videoplayers al eerder op de hoogte gebracht. Daarom heeft VLC dit vorige week al opgelost.
ja precies. dat had ik ook. meteen met dit artikel vlc nagekeken op de versie, geen update via het programma wel op de site.
Dit komt omdat updates staggered zijn, zodat hun servers niet overbelast worden. Ze hebben geen oneindig geld voor tig CDN servers :P
Versie 2.2.4 kwam uit op 2016-5.....
Geen idee waarom mensen jouw reactie een niet relevant geven!

http://download.videolan.org/pub/videolan/vlc/

2.2.4 is idd uit 2016 en 2.2.5.1 is van 3 mei 2017, dus vraag me af of deze nog kwetsbaar is.
Ondertussen Is 2.2.6 ook uitgekomen. Nogmaals maar even updaten voor de zekerheid. Helaas is VLC niet van de releasenotes dus geen idee of het daadwerkelijk gefixed is. :O
Thanks, kans is wel groot aangezien ze best lang tussen releases laten.
Ja, je krijgt een pop-up dat het idd gaat over dit security issue. Dus snelle actie van Videolan.
Torrent distribution inbakken :o
Serieus, geen gek idee, zouden meer mensen moeten doen, en dan wel een paar normale cdn servers. Maar als er tig mensen tegelijk gaan updaten dan is het ideaal om via p2p uit te wisselen!
Tot 2015 ofzo had Blizzard p2p downloads in hun battle.net launcher zitten, zorgde voor prima download snelheden. Maar nu hebben ze blijkbaar besloten dat ze wel oneindig geld voor tig CDN servers hebben :)
Dat mag geen excuus zijn om in een situatie als deze kritieke updates te vertragen.
Updates zijn een taak van je platform/OS, niet van een losse applicatie.
Eeuuhh, dus Microsoft/apple is verantwoordelijk voor producten van anderen?

Dus zij zullen beiden Google Chrome moeten onderhouden.
Of Apple/google moet Microsoft Office steeds maar weer voorzien van updates? Zodat ze veilig werken op Android/iOS/MacOS?

Heb je wel nagedacht over je reactie?
Inderdaad ja. Apple zorgt er in de app store zowel op MacOS als iOS voor dat je je updates krijgt.

Op linux is het idem.

[Reactie gewijzigd door nederlander123 op 24 mei 2017 02:13]

Nee, ze zijn verantwoordelijk van de distributie van de software van anderen. Dit werkt zoals genoemd al jaren perfect op menig Linux-distributie, als op de mobiele platformen.
disclaimer: Voor zover het software betreft die via een repo is geinstalleerd.
Wat @haling wil zeggen is dat het update meganisme een onderdeel van het OS hoort te zijn.
Android, IOS, Mac OS en Windows hebben allemaal al een app store.
Eigenlijk zou dat het software distributie punt moeten zijn.
Dat zegt hij niet.
Hij zegt dat updates een taak zijn van OS/Platform.
Voor mij omhelst dat dus al het werk dat eraan vooraf gaat.
Herstellen van de fout en deze tevens uitvoeren op een platform/OS.

Hij legt daarmee alle verantwoordelijkheid bij Apple/Microsoft/Google...etc etc.

Ik denk niet dat die bedrijven erop zitten te wachten dat ze verantwoordelijk zijn voor alle applicaties die er gemaakt zijn.
Zij zijn verantwoordelijk voor hun eigen producten. Niet voor die van een ander.
Dat zij een medium bieden die het voor anderen makkelijk maakt om te updaten, is een goed punt. Echter moeten die makers zelf de updates plaatsen op die media(distributie punten). Maar die moeten het dan wel plaatsen.
Als ze dit niet doen, dan kun je niet wijzen naar anderen.
In de Windows-store doen ze het wel. Koppelen met Windows update is een kleine stap.
Maar niet alle software wordt verkocht/gedownload uit een app store.
En op Linux gebruiken mensen geen app store maar repositories. Al sinds jaar en dag.
Voor de gebruikers van VLC: check handmatig even je versie nummer. Ik zat op 2.2.4 en deze geeft aan geen update nodig te hebben (U heeft de nieuwste versie bij update controle). Versie 2.2.5.1 is echter al beschikbaar.
http://www.videolan.org/vlc/download-windows.html
Ik denk dat je fout zit, Ik zat OOK op 2.2.4, en scheen WEL een update nodig te hebben, maar de update functie crashte steeds bij het downloaden, ook onder "Local Admin mode".
VLC Player zelf geeft dit aan:
VideoLAN and the VLC development team present VLC 2.2.6 "Umbrella".
VLC 2.2.6 is a security update fixing issues with subtitles and other formats, and improving DLL-loading security. VLC media player 2.2.0 was a major upgrade of VLC, introduced accelerated auto-rotation of videos, 0-copy hardware acceleration, support for UHD codecs, playback resume, integrated extensions and more than 1000 bugs and improvements.

[Reactie gewijzigd door HoeZoWie op 24 mei 2017 18:08]

Nee, ik heb het 2x gecontroleerd. Ik kreeg alleen het venster dat ik gefeliciteerd werd met het feit dat ik de laatste versie had. Op een ander systeem kreeg ik trouwens wel een update melding maar de updater crashed halverwege zoals je beschrijft. Blijkbaar dus ongerelateerde problemen.
2.2.6 wordt vanaf 24 mei gepushed naar windows gebruikers, als je hem direct hebben wilt;

https://twitter.com/beauzeh/status/867083696662355968
Fijn dat het bij 17.2 wordt opgelost maar hoe zit het met gebruikers die gewoon nog op 16.x zitten.
Daar zal wel niemand meer om geven helaas en ik zit niet te wachten op een upgrade.
Voor mensen op 16.x komt er ook een patch.... 17.2
Dat jij niet op een upgrade zit te wachten is jouw probleem, je kunt niet verwachten van ontwikkelaars, die dit merendeels ook nog eens in hun vrije tijd doen, ook alle oude versies gaan patchen.
Als je iets als Debian gebruikt, worden patches weldegelijk geport. Omdat versies stabiel zijn tussen releases. Weet alleen niet of Kodi in de officiële Debian repo staat.
> Weet alleen niet of Kodi in de officiële Debian repo staat.
Dat staat ie.
Dus mensen die jaren geleden goed geld hebben geïnvesteerd in een klein apparaat die versie 17 niet trekt kunnen fluiten naar support.
Ik denk dat er meer mensen oudere versies van Kodi gebruiken dan versie 17
Dit is een redelijk grote issue die een een minimale patch vereist om deze uit te rollen naar/tot b.v. versie 14 lijkt me wenselijk.
Of het nou gratis is of niet.
Dus mensen die jaren geleden goed geld hebben geïnvesteerd in een klein apparaat die versie 17 niet trekt kunnen fluiten naar support.
Voor support moet je bij de leverancier van dat apparaat zijn.
Ik ben het met je eens dat een update wenselijk is, maar ik heb zoveel wensen...

Maar je kunt natuurlijk altijd zelf nog de patch backporten, alle code is beschikbaar als de patch uitkomt.
"Goed geld"

Voor iets van het verschil tussen 16 en 17 niet aan kan? Nou dan denk ik toch dat ie aan vervanging toe is.
Hoe weet jij nou hoeveel gebruikers welke versie hebben?
Me neither. VLC wil ik nog wel updaten maar Kodi draait ook op embedded systemen die te traag zijn voor de huidige Kodi maar prima draaien op Kodi 15 / 16. Dit is erg slecht nieuws.

Voortaan dan maar eerst de subs checken in notepad voordat ik ze bij Kodi erbij zet :(
Als je dat bij elke ondertiteling apart moet gaan doen loop je eigenlijk het hele gemak van Kodi mis, het idee met Kodi was toch echt klikken en werken.

Dan nog al de mensen die Kodi gebruiken op de setop boxjes en mediaplayertjes die draaien op Android. Daar zitten vaak socs is die de programmatuur net kunnen draaien en geven al meldingen bij een update van Kodi 16 naar 17, updaten is daarmee dan eigenlijk onmogelijk.

Zijn de op Android draaiende Kodi gebruikers ook kwetsbaar eigenlijk..? Of wellicht nog veel meer kwetsbaar dan een Kodi op Windows..?
Goede vragen. Ik weet het niet. Ik weet wel dat Kodi 15 prima doet waarvoor ik hem wil gebruiken en dus geen reden zie waarom ik zou updaten. Jammer dat er niet zoiets is als een filetje wat je kan patchen zoals bij Wordpress een hotfix. Als je een modulair opgebouwd softwarepakket hebt zou het in die zin moeten kunnen.
Er is een hele makkelijke oplossing. Geen ondertiteling gebruiken. Dat, óf zorgen dat je de ontertiteling zélf sourced uit een betrouwbare bron.
Of gewoon de film kopen of huren, heb je nergens geen gezeik van.
Ooit gedacht dat mensen films kopen, deze rippen om met kodi te kunnen gebruiken? Of plex? Dus ja dan heb je t alsnog legaal en oei legaal en toch vatbaar zijn!

Bij het woord huren moet ik altijd al huiveren, want huren is niets anders dan je geld over de balk smijten (de film kopen is namelijk vaak niet veel duurder). Huren zie ik meer als last resort als je niet anders kunt.

Iemand die kodi gebruikt is niet per definitie iemand die illegaal download, ik ken zat mensen die hun hele cd collectie geript hebben naar hun nas omdat het makkelijker is dan steeds een cdtje te wisselen. En naar mijn weten is daar niets illegaals aan, en zo heb je ook mensen die dat met films doen, dus zeggen dat als je legaal de film koopt of huurt je dan nergens last van hebt is natuurlijk een wassen neus. Je zou kunnen zeggen dat er niets aan de hand is als je alleen de dvd/bluray gebruikt, maar ook daar kun je met kodi andere ondertiteling bij instellen.
Grappig hoe veel mensen deze comment aangrijpen als; ha een legale reden! En vervolgens stoppen met nadenken.
1. Ondertiteling, gemaakt zonder goedkeuring van de rechthebbenden, zijn illegaal bevonden.
https://stichtingbrein.nl...%20SLOV%20vonnis%20NN.pdf
2. Verspreiding hiervan is hiermee uiteraard ook uit den boze
3. Als je de film zelf hebt geripped, dan is het een kleine moeite om daarbij ook de ondertiteling mee te nemen. Vertrouwde bronnen voor ondertiteling, in dit geval je legale medium, hebben dit risico niet.

[Reactie gewijzigd door pipo de claw op 24 mei 2017 05:46]

4. Als je Big Buck Bunny of kleinere producties van bijvoorbeeld een filmfestival wilt kijken met ondertiteling voor slechthorenden dan moet je subs downloaden, zit er haast nooit bij in.

Punt 3 is zeker een goede tip, maar er zijn legio uitzonderingsgevallen. Zo wordt er zelden ondertiteling aangeboden in of vanuit bepaalde talen. Dan zal er aannemelijk nooit een legaal alternatief komen, wat nog wel eens verschil zou kunnen maken in de afweging van de rechter. Je moet dit soort zaken niet te snel veralgemeniseren en criminaliseren. Brein lijkt zich vooral te richten op de films en soundtracks van wat in de Nederlandse bioscoop en in de Nederlandse top40 verschijnt of verschenen is. Dat ligt anders omdat daar vaak zelfs via meerdere kanalen legale alternatieven bestaan zoals Bluray en view on demand, maar gelukkig is het populairste en vooral Hollywood niet het enige dat bestaat.
Daar heb je zeker gelijk in, ook ik heb me in mijn reactie beperkt tot de meest populaire vorm van film. De nuance zit hem hierbij in de term "goedkeuring".
Producties als Big Buck Bunny worden vrijgegeven onder de Creative Commons 3 licentie. Dit stelt men in staat om de film te gebruiken als het hen uitkomt, zolang de juiste credits maar worden gegeven/getoond.

Uiteraard, wanneer toch gebruik moet worden gemaakt van de ondertiteling uitwissel sites, dan moet men alert blijven.
Er wordt geen één woord gesproken in Big Buck Bunny, wat zouden er ondertitels voor nodig zijn? De meeste kortfilms van de Blender Foundation bevatten een stuk meer actie dan dialoog, zelfs met een minimum aan kennis van het Engels, begrijp je wel wat er gebeurt. Ze zijn trouwens ook op Youtube te bekijken met embedded ondertitels (https://www.youtube.com/channel/UCSMOQeBJ2RAnuFungnQOxLg), of te downloaden op de websites van Blender, met de bijhorende ondertitels. Hiervoor ondertitels scrapen is dus gewoon niet nodig.

Er zijn vast Creative Commons films die je nu niet noemt en waar misschien geen officiële ondertitels bij te downloaden zijn, maar wat ik eigenlijk wil zeggen, is dat de overgrote meerderheid van de ondertitels op opensubtitles en dergelijke niet onder de Creative Commons licentie vallen. Op de startpagina zie ik er toch geen.

Ik ben ook geen fan van de soms extreme vormen van auteursrecht die er zijn (zolang ik kopieerheffing betaal op alle computers/harde schijven/etc die ik koop, beschouw ik dat als een toestemming om te kopiëren), maar je helpt de zaak niet door drogredenen aan te halen.
Drogredenen? Ondertitels voor slechthorenden laat jij buiten beschouwing? Vast niemand met een gehoorbeschadiging of zelfs doofheid in je omgeving. En dan help ik de zaak niet, terwijl jij hele maatschappelijke groepen negeert? Of is de filmmuziek en overige audio soms ook niet belangrijk, is dat wat je probeert aan te geven?

Op de startpagina van Youtube zie je vast ook niet Big Buck Bunny staan, of wel? Dus waarom zou dat bij OpenSubtitles dan wel zo moeten zijn? Het is gewoon enorm belangrijk dat niet alle ondertitels gecriminaliseerd worden, het valt niet over een kam te scheren.

[Reactie gewijzigd door OruBLMsFrl op 25 mei 2017 16:43]

Ook ik gebruik vaak de ondertiteling, en als het gesprokene is in een taal die ik begrijp, liefst de originele taal.

Vooral bij films zijn de geluidseffecten en de achtergrondmuziek vaak luider als de dialogen zodat je om de dialogen te kunnen verstaan het geluid zo hard moet zetten dat de hele buurt de muziek mee kan zingen.

Ook bij andere programma's, zoals het nieuws, zet ik ondertiteling aan. Vaak worden er in onze huiskamer twee of drie streams tegelijk gekeken en dan is het fijn als je jouw programma kunt blijven volgen ook al komt het geluid van die andere streams, van getelefoneer of van iemand die iets tegen een ander zegt, er bovenuit.

Je hoeft niet doof of slechthorend te zijn om ondertitels te waarderen.

[Reactie gewijzigd door BeosBeing op 27 mei 2017 19:12]

Je kunt van wetgeving vinden wat je wilt, maar als iedereen er zo over zou denken, dan leefden we in een anarchistische samenleving.

Cyprus heeft niets verboden, zij stellen enkel zeer strikte eisen aan bepaalde omvormers. Gezien hun kleine hoogspanningsnet, is dit zeer lastig overeind te houden zonder genoeg traditionele opwek wegens natuurkundige wetten waar ik jullie even niet mee wil lastigvallen.
Zelfs Europa, met het grootste net in de wereld, heeft hier last van met de hoeveelheid wind en zonneopwek. Netbeheerders wereldwijd zijn op zoek naar oplossingen hiervoor, maar daar is tijd voor nodig.

Wilt men anderen niet tot last zijn met hun opwek, dan moet men een batterij plaatsen en zichzelf loskoppelen van het net.
Let wel dat er nergens in de legislatuur van Cyprus wordt gesproken over dat je batterijen moet gebruiken, of de energie op een andere manier direct moet gebruiken ipv terugleveren aan het netwerk.

Het feit dat het prima kan maar dat je dan je eigen energie voor de dubbele prijs mag terugkopen laat zien dat het met name het fiscale aspect is wat belangrijk is.

Cyprus heeft namelijk nogal gefaalt met hun energieopwekking. Ondanks dat er hier veel mogelijkheden zijn voor zon, wind en in de winter water (stuwmeren) gebaseerde energieopwekking wordt daar niets mee gedaan.

Wat ze wel hebben gedaan is voor miljarden een conventionele energiecentrale in een havengebied laten bouwen. Ver boven de realistische marktwaarde uiteindelijk door oplopende kosten en fraude op alle bestuurslagen die er bij betrokken waren.

Daarna hebben ze illegale wapens bestemd voor Syrie in beslag genomen en zonder fatsoenlijke vergunningen jaren opgeslagen in 98 zeecontainers zonder enige bescherming tegen de zon. Op steenworp afstand van deze enige, grote centrale in Cyprus verantwoordelijk voor 50% van alle energieleveranties op het eiland.

Je mag het raden. De wapens zijn geexplodeerd in één van de grootste niet-nucleare explosies ter wereld (#5 om precies te zijn, 2-3 Kiloton aan TNT equiv.)

Gevolg is dat men voor het herbouwen van de vrijwel geheel op de pof gekochte en gebouwde centrale wederom een zelfde krediet mocht gaan afsluiten. De prijs van stroom in Cyprus is dus ook exorbitant duur en er worden continue maatregelen genomen om er voor te zorgen dat de lokale bewoners vooral geen eigen stroom op gaan wekken. Dit brengt namelijk de fiscale modellen in gevaar voor de afbetaling van de huidige energiecentrale.

Zoals je ziet, de overheid faalt, de burger betaald. Div. landen waaronder Duitsland en Engeland hebben namelijk aangeboden om de 98 containers met explosieven kostenloos te verwerken maar Cyprus koos er voor dat niet te doen omdat ze bang waren dat de relatie met Syrie zou verslechteren.

[Reactie gewijzigd door majic op 25 mei 2017 14:53]

Als ze films kopen en rippen kan dat dus met subtitles... En is er geen beveiligingsrisico.
Popcorn time host enkel illegale content.

En subtitels zijn sowieso illegaal om te maken en distribueren. Dus allemaal non argumenten.

Sowieso laten we elkaar geen mietje noemen: de meeste (minimaal 90% en dan ben ik voorzichtig) gebruikt dit met illegale films. Zeker in combinatie met waar deze exploit misbruik van maakt: automatisch downloaden van subs (enkel nodig wanneer niet gekocht en niet legaal), popcorn time of inladen van gedownloade subs (ook niet legaal).

Dus bij kopen en huren inderdaad geen last.
Ook dit is weer kort door de bocht, want subtitles maken is niet illegaal, het verspreiden ervan is illegaal. Als je voor jezelf ondertitels maakt zal geen haan daar naar kraaien. Overigens ben ik het wel met je eens dat custom subs in principe alleen bij illegale downloads voorkomt, maar stel je koopt een film in het buitenland (dat is volgens mij nog altijd legaal) maar die film heeft bijvoorbeeld geen Nederlandse subs, dan zou je dus Kodi kunnen gebruiken om die subs toe te voegen (dat is dan wel illegaal, maar goed). In principe klopt het dus wat je zegt, neemt niet weg dat ik het op zich nog steeds raar vind dat mensen geen subs mogen maken terwijl we tegenwoordig doodgegooid worden met Google translate subs.

Overigens noem ik niemand een mietje :P.
Als je zelf subs maakt (ooit 1x gedaan voor The Walking Dead telltale game seizoen 1. Wat een hell) heb je geen last van dit probleem ;-) Dat was eigenlijk mijn punt.

Maar inderdaad het blijft een vreemd verhaal. Daarom ben ik ook blij dat er niet heel actief vervolgt word. Want eigenlijk is heel veel copyright-gedoe enorm krom en puur gericht op winst-maximalisatie. iets wat de artistieke vrijheid enkel tegenwerkt en juist zorgt voor minder nieuwe films en meer 13-in-een-dozijn films uit Hollywood.

Erg jammer.

Maar dit is al vrij off-topic ;-) Ik zeg ook niet dat de wetgeving terecht is. Ik ben zelf absoluut niet roomser dan de paus in dit geval. Maar ik erken wel dat downloaden altijd een beveiligingsrisico is. Dat heb je met gekochte/gehuurde versies gewoon niet.

Wel prima opgelost trouwens door alle partijen.
  • Op tijd ingelicht
  • bedrijven hebben snel patches ontwikkeld en uitgebracht
  • dan pas publiek maken om awareness te creëren
Zo kan het ook Microsoft/Apple/Google/BigCorporations ipv moddergooien, geen patches uitbrengen of gewoon leaks melden zonder genoeg tijd te geven om te patchen.
Maar wel slechte subs. De officiele subs van films en series zijn echt ondermaats, vaak zijn de 'user-generated' subs qua vertaling al beter, maar ook niet foutloos.
Bovendien zijn het slechts weinige dvd's die met een redelijke selectie aan talen komen. Alle Amerikaanse films komen in Amerika bv. met Engels en Spaans... hier niet. De subs zijn zo'n beetje per land, positieve uitzonderingen daargelaten.

'k Heb ook al eens Engelse subs moeten downloaden voor een Japanse film die ik met niet-Nederlandstalige gasten wou kijken.
Zelfs in de bios heb je soms google translated subs of user generated subs van de matige soort (dus niet de goede die jij beschrijft die er zeker zijn), de mainstream films vallen mee, maar als je naar een Indiase film gaat zoals baahubali 2 (aanrader trouwens, soort over the top lord of the rings in de mix met andere genres), dan krijg je soms spelfouten, soms stukken Engels erdoor. Werkelijk bizar.

[Reactie gewijzigd door Hobbykok op 23 mei 2017 22:34]

Werkelijk bizar.
Moet je eens een kijkje nemen op bijv. de PSN store. Het leeuwendeel van het aanbod aan games heeft beschrijvingen die letterlijk bestaan uit vertaal-machine troep. En daarnaast heb je geregeld nog beschrijvingen die in het fins of noors geschreven zijn.

Dat laatste is overigens geen geisoleerd geval. Een collega van mij moet werken met een software-partner die gegevens uit diverse beddenbanken agregeert en heeft nu al weken lang een over en weer e-mail discussie met hun support afdeling die glashard vol houdt dat de evident Norse tekst die in één van de data-velden staat, correct Nederlands zou zijn. En ze weigeren het dus ook te corrigeren.

(Echt; we hebben ze zelfs vergelijkende Noors -> Nederlands screenshots uit Google Translate gestuurd. En nog geloven ze het niet. Werkelijk waar te zot voor woorden.)
Tsja, het is het een of het ander. Als jouw Windows 7-machine het Eternalblue-lek bevat, ben je kwetsbaar. Als je niet wilt updaten: tsja, dat is dan jouw keus, maar besef je dan wel dat je risico loopt. Nu is de kans natuurlijk veel kleiner dat je wordt geïnfecteerd door een ondertiteling, dan door ransomware, maar je snapt m'n punt denk ik wel.
Probleem is dat ik Kodi 17 geen upgrade vind en qua functionaliteit voor mij weinig meebrengt.
Windows 7 updaten is niet gelijk gepaard met een ton aan functionaliteit maar het patchen van.
Windows 7 updaten naar Windows 10 is vergelijkbaar echter krijg je op beide platformen dezelfde patch ongeacht wat je draait.

Ben wel eens eerder gaan updaten met Kodi en het was meer dan eens een drama.
Het ene is gratis, ik snap het wel maar vraag me af wat ze aan andere versies gaan doen.
Zal wel een kwestie van "moeten" worden dan.
Probleem is dat ik Kodi 17 geen upgrade vind en qua functionaliteit voor mij weinig meebrengt.
Kijk dit is je goed recht natuurlijk maar ook gelijk wel een beetje je eigen probleem. Je kunt developers van (gratis) software niet verplichten oude versies te updaten omdat een handje vol gebruikers die zo graag wil gebruiken.
Probleem is dat ik Kodi 17 geen upgrade vind en qua functionaliteit voor mij weinig meebrengt.
Dat is het fijne van OpenSource software: je kan de patch zelf integreren in de Kodi 16.x tree en dan je eigen versie compileren \o/
Ja, zo zitten er ook heel veel xp gebruikers niet te wachten op een upgrade.

Maar als jij je htpc van het netwerk haalt dan is er niks aan de hand. Het is alleen wat omslachtig om zo je films + subs af te spelen.
Alles lager als v17 zal absoluut geen upgrade krijgen.
Weet iemand of Plex ook getroffen is? Deze maakt namelijk ook gebruik van opensubtitels.org.
Voor zover ik weet is plex in een ver verleden geforkt van (toen nog) XMBC, het is dus goed mogelijk dat Plex ook kwetsbaar is
das war einmal..
de applicatie "Plex HomeTheater" was gebaseerd op xbmc maar in de huidige plex zit niets meer van kodi in.
Correct. Geen idee waarom je de grond in wordt gestemd, maar je hebt een paar tegenwichtpuntjes.
Dat de ondertitels van opensubtitles.org afkomen is niet de hoofdzaak waardoor je vatbaar bent. Het zit hem in de videospelers. Het enige wat relevant is aan opensubtitles.org is het volgende:
  • Er kan met behulp van een script voor worden gezorgd dat de kwaadaardige ondertitels altijd bovenaan komen te staan
  • Er zijn 25 verschillende bestandsformaten voor ondertitels
Dat weet niemand dus (of Plex ook getroffen is). In het artikel staat namelijk:
Kodi, VLC, Popcorn Time en Stremio zijn de platforms waarop de onderzoekers hun hack hebben getest, maar zij verwachten dat veel andere mediaspelers ook kwetsbaar zijn.

[Reactie gewijzigd door AnonymousWP op 23 mei 2017 20:32]

Dat vroeg ik mij ook af. geen idee hoe plex met zijn subtitles om gaat maar hangt denk ik start af van de player die je gebruikt.
een samsung smart-tv app zal bijvoorbeeld lastiger te misbruiken zijn dan de plex windows/linux applicatie.

er is inmiddels wel een topic op het plex forum hierover.
https://forums.plex.tv/di...s-reported-by-check-point
Het lijkt me dat elk programma/suite die ondertitels kan ophalen en verwerken hier gevoelig voor is?

Gaat het om specifiek 1 bestandsoort (.srt) of meerdere extensies?

Die kun je (tijdelijk) blacklisten op je systeem.


(edit: ytpo)

[Reactie gewijzigd door ToolBee op 23 mei 2017 22:44]

Ik heb ze gisteren een tweet gestuurd. Ze zijn aan het onderzoeken of deze kwetsbaarheden ook voor Plex gelden maar hebben op dit moment nog niets te melden.
Even een update voor de geïnteresseerde:
https://forums.plex.tv/di...s-reported-by-check-point

Plex is niet getroffen, aldus het bericht op het forum.
Bedankt voor het informeren! :) Mooi om te horen dat Plex niet getroffen is.
25 bestandsformaten voor ondertitels? is dat niet wat overdreven?
Subtitle Edit alleen support 200+ formaten volgens de eigen website.

En de source code heeft er ook wel een flink aantal:

https://github.com/Subtit...ter/libse/SubtitleFormats
Voor elke letter één.
Je weet dat er vele alfabetten zijn op de wereld, en subtitles juist bedoeld zijn voor gebruik in allerlei talen? En zelfs in de onze wil je al gebruik kunnen maken van dingen als trema's en accenten.
welke besturingssystemen nou vatbaar zijn voor deze hack is niet duidelijk. Daarbij kan subscene.com toch ook misbruikt worden met deze scripted subtitles bestanden?
Ja, het maakt niet uit van welke site de ondertitels komen, zolang er maar kwaadaardige code is verwerkt in het bestand.
Ik ben hier niet zo in thuis en heb zo'n MXQ Pro 4K Kodi kastje aan de tv hangen, wordt Kodi dan automatisch geupdate naar de laatste versie of moet ik dit handmatig doen?
Het is een Android kastje. Waarschijnlijk zal je box regelmatig nieuwe updates installeren van je apps, waaronder Kodi. Je kan het beste even in de PlayStore kijken en handmatig updaten, dan zit je altijd goed.
Top! Bedankt voor je snelle reactie!
In hoeverre geldt dit ook voor Linux? Is VLC (v2.2.2) hier ook kwetsbaar?

Ik haal mijn ondertitels altijd van subscene, en zou het een kleine moeite vinden om een gedownload bestand eerst even te openen in een notepadje om dan via een Ctrl-F even te checken of er code in zit voor ik het in VLC importeer. De vraag is natuurlijk naar welke keyword(s) ik moet zoeken daarvoor. Iemand?
Volgens mij volstaat het te zoeken op twee opeenvolgende puntjes. Dit omdat de aanval bestaat uit het aanpassen van bestanden waar de huidige gebruiker schrijfrechten toe heeft en, om tot die locatie te komen, '..' gebruikt wordt. Zie ook de pull request en bijhorende commit van Kodi :)

[Reactie gewijzigd door SanderL op 24 mei 2017 00:04]

Daar kan ik wat mee, bedankt!
Inmiddels is de officiële release van v17. 2 uitgebracht.
https://kodi.tv/article/k...-fix-and-security-release

Android Play Store is ondertussen geüpdate en je zal deze automatisch krijgen. Windows Store duurt altijd iets langer voordat de update door hun systeem is. Linux Ubuntu PPA zal ook snel worden geüpdate.

LibreELEC zal snel volgen met een update via hun website.

[Reactie gewijzigd door Idiocracy op 23 mei 2017 20:54]

De download van de release staat nog op v17.1.
Los van de aankondiging zie ik de download voor 17.2 niet terug.

Edit: via de mirror hieronder wel te downloaden.

[Reactie gewijzigd door dutchgio op 23 mei 2017 21:21]

Dat klopt. Er zijn nog andere zaken gaande (o.a. gemekker met Samba-versies, een nieuw forum, etcetera), naast de gebruikelijke testen. Een ETA voor versie 8.0.2 is er vooralsnog niet.

EDIT: oeps... Bedoeld als reactie op Idiocracy.

[Reactie gewijzigd door Klojum op 23 mei 2017 22:11]

Achter de releasebuild-knop voor Windows (non-Store) hangt nog de 17.1

Via http://mirrors.kodi.tv/releases/win32/kodi-17.2-Krypton.exe krijg je wel de laatste build.

[Reactie gewijzigd door max op 23 mei 2017 21:19]

Hier moet je tijdelijk sommige virusscanners uitzetten. Avast bijvoorbeeld weigert even dit toe te laten omdat het nog nieuw en niet eerder onderzocht is. Na 146 minuten zou het weer toestaan.

Beetje vervelend, maar niks aan te doen. Wel apart dat virusscanner soms goede en noodzakelijke updates tegenhouden...
Kodi 17.3 zit in de pijplijn vanwege binaire addon taggingproblemen.
Op LibreELEC 8.0.2 zullen jullie dus nog iets langer moeten wachten.
Ik zit nog op Kodi 16.1 vanwege een shared mysql database en een mediaspeler met Android 4.x. Voor die laatste geldt dat Kodi vanaf versie 17 hier niet meer op werkt. Een Android update voor deze mediaspeler valt niet meer te verwachten. Neem ik bijvoorbeeld een custom rom met nieuwere Android en dus ondersteuning voor een recente Kodi met deze fix, dan werkt Netflix niet meer. Twee mogelijkheden: zo blijven en dus vatbaar op al mijn systemen :( :'( of een nieuwe mediaspeler kopen... Iemand suggesties?

[Reactie gewijzigd door Jorgen op 24 mei 2017 01:39]

Een nieuwe kopen. (Helaas I suppose) Android kastjes met support zijn eigenlijk alleen de duurdere.
Dit was het topmodel van Minix. Na verschillende updates, is het nu helaas klaar.
Als je de MySQL database voornamelijk gebruikt voor het syncen van de watched status zou je op beide system de addonTrakt kunnen installeren.

Je verliest dan echter wel de functionaliteit om de eerste 10 minuten op plek1 te bekijken en dan automatisch verder te gaan vanaf 10:01 op plek2.

Een andere mogelijkheid is b.v. een Emby-backend te gebruiken en dan de Emby-plugin op Kodi.
Ik gebruik het inderdaad voor de watched status (i.c.m. Trakt) en om verder te kijken op een andere client. Ik heb Emby zelf nooit gebruikt, maar wat ik ervan hoor, werkt het nog niet geweldig i.c.m. Kodi en is het nogal een gedoe om op te zetten.
Ik kan niet goed inschatten of het veel gedoe is, dat is wel afhankelijk van je kennis, maar als je een MySQL server kunt neergooien dan moet een Emby-server ook lukken :)

De plugin voor Emby onder Kodi is in een vloek en een zucht geinstalleerd en werkt perfect. Maar eerlijk gezegd is het overkill als je alTrakt gebruikt en je het geen probleem vindt om even naar de juiste episode + tijd te navigeren.
Ik ben nog niet helemaal overtuigd van die 'Full Control'. Remote code execution is één maar daarna uit de userspace ontsnappen is een tweede.
Daar zijn dan weer kant en klare exploits voor, die kun je dan natuurlijk ook draaien.
Ze geven wel technische details, want ze verwijzen naar de commits met de code fix. In Kodi zat blijkbaar een issue in het uitlezen van gezipte ondertitels, waardoor andere bestanden op het bestandssysteem overschreven kunnen worden.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*