URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128571
[ Назад ]
Исходное сообщение
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке mp4-файлов"
Отправлено opennews , 01-Окт-22 10:00 
Исследователи безопасности из компании Google...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57853

Содержание
Сообщения в этом обсуждении
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 10:00 
Главное - ни в коем случае не сохранять размер выделенного блока и не проверять его при обращении к этой памяти - ОПТИМИЗАЦИЯ!

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено n00by , 01-Окт-22 10:10 
Вы будете смеяться - но размер блока сохраняется (либо может быть определён) менеджером кучи.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 11:42 
В данной ситуации, менеджер кучи - это лид пропустившие сие непотребство в релиз?
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено dullish , 01-Окт-22 14:28 
Какая прелесть! И тонко и толсто одновременно.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено n00by , 01-Окт-22 16:16 
Берите выше - в ISO/IEC 9899.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено ХрюХрю , 01-Окт-22 16:50 
И все потому что не на расте?
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено n00by , 01-Окт-22 19:43 
Никто не запрещает реализовать свой менеджер памяти. «Универсальный» вообще-то для серьёзных применений непригоден по определению, поскольку является заведомо компромиссным решением. Но для фанатов свеженький Розы эти очевидные вещи достаточно сложны, т.к. у их ведущего #define объявляет переменную, потому надо прилепить Раст.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 10:27 
Упс. Кто-то торопился дописать код)
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 13:47 
> Уязвимость проявляется начиная с ветки FFmpeg 5.1

- Обновляйтесь, - говорили они. - Это безопасно.

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 14:21 
Да ладно, норм разработка. Поймано 10 багов, добавлено 100 новых. И нужно больше золота!
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Michael Shigorin , 01-Окт-22 15:26 
http://packages.altlinux.org/ffmpeg :-]
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 18:59 
Старьевщики - alt не участвует в разработке и только складирует.
Смотри - в 90-ых у нас в лесу устанавливали опоры освещения, после известных событий в 91 все это дело забросили. Технология опор освещения открыта, но почему то вернулись к ней только через 30 лет.
Как ты думаешь, к ffmpeg теперь ты через сколько вернешься?
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Michael Shigorin , 02-Окт-22 23:12 
Точно-точно?

http://github.com/ilyakurdyukov/e2k-ports/blob/main/ffmpeg-4...

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 09-Окт-22 00:10 
А патч для firefox где? Ты говорил что пишут, 3 года назад.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 16:00 
можно пойти по пути мелкозадых, сначала задолбать всех калечными апдейтами требующими ребутов, потом без апдейтов всё превращается в гадюшник и нужно доблестно превозмогать и лечить от порношифрователей всю бюстгалтерию, а при повторном включении апдейтов непрошенно накатывается w11 с поломанным битлокером который фарширует ваши данные необратимо, в отличие от порновымогателя)
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 10:42 
Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в сишечке, я отвечу: выходят за границы массивов.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 10:53 
Попробуй потоньше, переполнение происходит даже в святом расте.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Анонн , 01-Окт-22 11:23 
Попробуй потоньше, а что на счет выхода за границы массива?
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 13:51 
Но произошло опять в сишечке.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Michael Shigorin , 02-Окт-22 23:13 
> Если я усну и проснусь через сто лет

...то попросите кушать, подозреваю.

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 10:52 
Всё как обычно у ffmpeg. А вот будете знать как бандлить ffmpeg.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Fracta1L , 01-Окт-22 10:53 
Первый вирус, который передаётся через порно
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 10:54 
Мимо, 10 лет назад это уже проходили, опять же с ffmpeg.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Герострат , 01-Окт-22 10:58 
Второй вирус, который передаётся через порно
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 14:22 
Не волнуйся, ЗППП тебе не грозят
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено MihaNix , 03-Окт-22 09:13 
Помнится в DivX Player похожее наблюдалось, при открытии подготовленного avi файла.
Потом в какой-то поздней версии с файлом субтитров они так же лоханулись.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 11:54 
Это не вирус, у него отсутствует свойство заражения исполняемых файлов в системе.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 16:13 
Ладно, плазмид.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Бывалый смузихлёб , 02-Окт-22 05:55 
Затолкают функционал заражения - будет заражать. А поскольку заражать будет видеофайлы - антивирусы его вряд ли ловят
Эдак весе видосы незаметно могут стать заразными

Кстати, бизнес-идея: вирус шифрует прон/ добавляет в него какое-то сообщение почти на весь кадр с требованием отправить энную сумму на энный счёт для разблокировки )

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 03-Окт-22 04:33 
Термин "вирусный ролик" обретает новое значение
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено rm2 , 01-Окт-22 10:54 
Вот бы кодерам которые выполняют чужой код из mp4-файлов можно было как-то запрещать программировать навсегда.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 11:03 
проще запретить тебе смотреть порнуху. навсегда!!!
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Геймер , 01-Окт-22 11:47 
Вывод: mp4 плохой
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Kuromi , 01-Окт-22 15:06 
Скорее это значит, что он популярный (не сомтря ни на что). Наверняка в обработке других контейнеров тоже есть баги, но просто там не копают.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Rev , 01-Окт-22 13:07 
Понапишут на древних небезопасных языках, потом фиксят уязвимости десятилетиями...
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено YetAnotherOnanym , 01-Окт-22 15:40 
Надо же, как вовремя, прямо к выходу кодека на основе машинного обучения.
Переходите на наш кодек, а мы будем готовить актуальные наборы данных для обучения, отражающие реалии текущей ситуации. Жена вам скажет "сходи за хлебом", а наш декодер озвучит "выходи на протесты".
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено мелкософта , 02-Окт-22 11:58 
И тут ты нам выкатываешь и показываешь свой идеальный код?
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Michael Shigorin , 02-Окт-22 23:17 
> И тут ты нам выкатываешь и показываешь свой идеальный код?

Не, только чешский айпишник.

PS: я про #42

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 18:59 
> A heap out-of-bounds memory write

Ну что ж такое! И сюда ненастоящие сишники прокрались и херни напрогали. Впору заподозрить заговор растоманов против сишки и православия. Прикидываются настоящими сишниками и пролазят в проекты, чтобы по наущению гугла и зог писать cve в сишные проекты и дискредитировать язык на котором сам Иисус скрепы программировал.

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 01-Окт-22 19:21 
В репах Debian Stable лежит 4.3.4
Итог: опять страдают обновисты
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено НяшМяш , 01-Окт-22 20:23 
Вороны учат жить орлов
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Аноним , 02-Окт-22 00:50 
Обновление прилетело сразу, никто не пострадал.
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено Геймер , 01-Окт-22 20:21 
$ ffmpeg -version
ffmpeg version 4.3.4-0+deb11u1 Copyright (c) 2000-2021 the FFmpeg developers

Легаси сила

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено anonymous , 02-Окт-22 23:06 
это че, значит есть шанс взломать прошивку например гибридных фотоаппаратов?
"Уязвимость в FFmpeg, позволяющая выполнить код при обработке..."
Отправлено randomize , 04-Окт-22 20:46 
На них есть libavformat.so?