https://www.opennet.ru/openforum/vsluhforumID3/130947.html В мультимедийном фреймворке GStreamer выявлены две уязвимости, которые могут привести к выполнению кода при обработке специально оформленных файлов в форматах SRT (CVE-2023-37329) и PGS (CVE-2023-37328) в приложениях, использующих GStreamer. Уязвимости вызваны переполнениями буфера в коде разбора и декодирования субтитров из файлов в форматах SRT и PGS. Переполнения возникают из-за отсутствия должной проверки размера присутствующих в файлах полей, перед копированием их содержимого в выделенный буфер. Уязвимости устранены в выпуске 1.22.4 наборов gst-plugins-good, gst-plugins-bad и gst-plugins-base...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59410<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#34 Tue, 11 Jul 2023 12:51:08 GMT Так уже - chatgpt, не, не слышал? Прада генерит он только крутой бред, но для многих применений - сойдет.<br><br>Код им сгенереный тоже пока обычно даже не компилируется, но на code review его уже тоже вполне можно выпускать, 3/4 дела уже в шляпе!<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#33 Mon, 10 Jul 2023 19:24:24 GMT &gt;нормально разбирать юникод,<br>&gt;А потом ещё нормально выбрать символ *и* отрисовать<br><br>Понятно, сгорел. А мог бы читать внимательней чужие сообщения.<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#32 Mon, 10 Jul 2023 19:04:26 GMT &gt;&gt;дружище, займись продажей пиццы, это у тебя точно получится лучше чем программирование <br>&gt; А кто те другие чудики? Авторы libass, vobsub - рендеров субтитров, у <br><br>то есть в твоей головушке рендер и "разбор юникода" из твоего предыдущего опуса - одно и то же? Ну ок, предложение о продаже пиццы снимается. Тебя там обсчитают так что ты вместо пиццы себя в ан@льное рабство продашь, с такими интеллектуальными способностями.<br><br>Твоя судьба видимо таки да, программировай. Там интеллект не нужен, его заменит chatgpt.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#31 Mon, 10 Jul 2023 16:55:28 GMT &gt;дружище, займись продажей пиццы, это у тебя точно получится лучше чем программирование<br><br>Хорошо, но только в компании с этими чудиками и тобой, у которого ВАААБЩЕ нет никаких проблем.<br>А кто те другие чудики? Авторы libass, vobsub - рендеров субтитров, у которых регулярно были обосрамсы по безопасности (ну ладно, сделаем поправку на то, что рисовали сложней вещи, типа ass)<br>Авторы freetype, у которого регулярно были обосрамсы на несовсем корректных шрифтах)<br>Прогеры яблофонов (и не только), у которых тело вешалось он лютой нашлепки кодов модификаторов в приложении обмена сообщениями.<br>Хотя, казалось бы, по-поховски должны были от рисовать пустой прямоугольник и всё.<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#30 Mon, 10 Jul 2023 05:58:26 GMT &gt;О нет, опять язычёк ничего не смог написать!<br><br>Никогда такого не было и вот опять!<br>О, нет! Опеннетчик снова не смог в суффиксы имен существительных!<br>Никогда такого не было и вот опять! <br>Но в rust он конечно сможет - это же ДРУГОЕ.<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#29 Mon, 10 Jul 2023 03:28:26 GMT Распарсить текст епта, в универах этому уже не учат? Юзайте написанный дедами парсеры :)<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#28 Mon, 10 Jul 2023 02:34:37 GMT Вот самое смешное, что одной из названных причин первоначального нежелания поддерживать Gstreamer (а потом и отказа от него) были ка краз вот такие гипотетические узвимости.<br>Многие тогда конечно шикали, но вот...дожили. Впрочем по опыту цифровые флибустьеры как правило на своих кинотеатриках сабами не заморачиваются вообще, а легальные киношки сабы рисуют в основном жабаскриптом, без штук вроде VTT и файлов с сабами.<br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#27 Sun, 09 Jul 2023 23:17:59 GMT дружище, займись продажей пиццы, это у тебя точно получится лучше чем программирование.<br><br>Тебе НЕ НАДО "нормально разбирать юникод" - никто даже и не заметит что ты выбрал неверный глиф для неведомого символа алфавита майа (все пустые квадратики совершенно одинаковы).<br><br>Тебе всего лишь надо не выполнить при этом текстовую строку как код. И если ты не понимаешь как это гарантировать - лучше продавай пиццу.<br><br>P.S. я совершенно уверен что проблема не в юникоде, и они там использовали лефтп/////libicu как все.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/130947.html#26 Sun, 09 Jul 2023 21:03:30 GMT Я, конечно, не в курсе всех деталей уязвимостей, но скажу так - сейчас чтобы нормально разбирать юникод, надо пару лет наглотаться пыли и откровенной грязи - такое барахло прилетело за последние 10 лет в стандарт, что не в сказке сказать, ни пером описать.<br>А потом ещё нормально выбрать символ и отрисовать его - мой пламенный привет лигатурам, встроенным в шрифты и прочим модификаторам цвета кожи эмодзи. Там поле непаханное кривой реализации и вытекающих из неё багов, менее научных, вроде отпечатков по работе плашки памяти, но куда гораздо приближенных к реальности в плане эксплуатации.<br>