Synology-Forum.nl
Packages => 3rd party Packages => Auto-Sub => Topic gestart door: Satch_23 op 24 mei 2017, 19:23:57
-
Ben,
al op de hoogte van onderstaande:
http://blog.checkpoint.com/2017/05/23/hacked-in-translation/ (http://blog.checkpoint.com/2017/05/23/hacked-in-translation/)
-
Ja had het al gelezen en ook dat bijna alle player het lek inmiddels gedicht hebben.
Heb nog nergens kunnen vinden wat ze precies in de sub stoppen want dan kan ik het eruit filteren.
-
Uit het bericht maak ik min of meer op dat ze meer details gaan vrijgeven zodra de meeste mediaplayers de lekken gedicht hebben.
Hopelijk kun je met de dan vrijgegeven informatie iets.
In ieder geval iets om in de gaten te houden.
-
Doe ik zeker, het is een kleine moeite een filter in te bouwen,maar danmoet ik wel weten wat ik moet filteren.
-
Ik ben er inmiddels achter dat deze hack alleen werkt vanuit subs die in een zip file zitten en in actie komen tijdens het unzippen.
Autosub downloads vanaf addic7ed en opensubtitle geen zips, maar alleen de normale .srt files.
Alleen vanaf subscene worden zipfiles gedownload en uitgepakt.
Ik betwijfel of daar iets kan gebeuren want de hack is specifiek werkzaam op mediaplayers en zal wel niet werken op een python applicatie.
Voorlopig advies is om subscene uit te zetten al betwijfel ik of het veel kwaad kan.
Gelukkig is het autosub package geschikt gemaakt voor DSM 6 en draait het niet met admin rechten, in tegenstelling tot veel andere packages die via een truc toch draaien maar daardoor admin rechten hebben gekregen.
-
Ben,
dank voor de update. Misschien wel nog de waarschuwing om op te passen wanneer men handmatig subs van opensubtitles e.d. download (heb daar wel eens wat gezipte subs gezien).
-
Het is alleen gevaarlijk als zo'n zip door een mediaplayer of media player applicatie wordt uitgepakt.
Gewoon unzippen kan geen kwaad heb ik begrepen.
-
Wat is dan t verschil ben?
DS213j / DS115 / DS216
-
Het unzippen wordt vanuit de software van de mediaplayer gedaan en die zijn(waren) gevoelig voor die bewuste hack.
-
Ik zit net op kodi 17.3. Heeft die dat opgelost? Of weet je dat niet?
Overigens wel vreemd. Je moet dan dus geloven dat de player een subscene zipje download, die unzipt en in plaats vd srt file een/de andere inhoud vd zip pakt en die opeens als executable code ziet
Klinkt me toch weg vreem un de oren
DS213j / DS115 / DS216
-
Kodi heeft het al gefixed in versie 17.2 zie:
https://kodi.tv/article/kodi-v172-minor-bug-fix-and-security-release
Zo simpel werkt een hack niet dat ze een executable in een zipfile stoppen, die als zodanig te herkennen is.
-
Hoe doen ze t dan?
DS213j / DS115 / DS216
-
Geen idee hoe ze het in dit geval doen, maar meestal gaat het via een bufferoverflow, waardoor ze stukjes code via een truc laten uitvoeren door in dit geval de mediaplayer.