The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В libpng устранена опасная уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В libpng устранена опасная уязвимость"  +/
Сообщение от opennews (??) on 23-Дек-14, 21:44 
В новых версиях библиотеки libpng 1.5.21 и 1.6.16 (http://sourceforge.net/p/png-mng/mailman/message/33173461/) устранена уязвимость (http://seclists.org/oss-sec/2014/q4/1133), которая может потенциально привести к выполнению кода злоумышленника при обработке специально оформленных PNG-изображений в приложениях, использующих данную библиотеку. Проблема вызвана переполнением кучи в функции  png_combine_row(), возникающей при передаче слишком широких изображений с чересстрочным кодированием. Опасность уязвимости усугубляется тем, что код libpng используется в Firefox (https://hg.mozilla.org/mozilla-central/file/44344099d119/med...), Chrome (https://code.google.com/p/chrome-browser/source/browse/trunk...) и многих других продуктах, в которых практикуется отображение сторонних изображений.

URL: http://seclists.org/oss-sec/2014/q4/1133
Новость: http://www.opennet.dev/opennews/art.shtml?num=41332

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В libpng устранена опасная уязвимость"  –3 +/
Сообщение от Аноним (??) on 23-Дек-14, 21:44 
в homebrew уже есть!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В libpng устранена опасная уязвимость"  +3 +/
Сообщение от Аноним (??) on 24-Дек-14, 03:33 
> в homebrew уже есть!

А толку? Проприетарь в вашей макосятине все-равно перла либу с собой отдельно. Вот там ее и раздолбают.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

34. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 07:44 
Только толку от этого никакого для безопасности системы.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В libpng устранена опасная уязвимость"  +7 +/
Сообщение от MPEG LA (ok) on 23-Дек-14, 21:51 
а вот это жопа.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В libpng устранена опасная уязвимость"  –2 +/
Сообщение от тоже Аноним email(ok) on 23-Дек-14, 22:07 
Если у вас программы, использующие libpng, имеют достаточно прав, чтобы произвольный код, выполненный от их имени, был чем-то опасен - да, она самая.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В libpng устранена опасная уязвимость"  +2 +/
Сообщение от Аноним (??) on 23-Дек-14, 22:14 
> выполненный от их имени, был чем-то опасен - да, она самая.

Ну например произвольный код в браузере - может как минимум плотно поработать с сетью, не забыв спереть всякие там куки, историю и прочая. Ну а работа с сетью подразумевает возможность немного поспамить и чего там еще.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В libpng устранена опасная уязвимость"  +3 +/
Сообщение от Crazy Alex (ok) on 23-Дек-14, 22:24 
А иначе - всего-то дрянь сможет поворовать ваши пароли, номера кредитных карт и т.п. Мелочи, чего там.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "В libpng устранена опасная уязвимость"  +3 +/
Сообщение от Аноним (??) on 24-Дек-14, 01:07 
А также разослать спам, поучаствовать в DDoS, запроксировать хакерскую атаку на пентагон или куда там еще, так то спецназ сначала снимет вам дверь с петель, а потом может и разберутся. Через годик.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

40. "В libpng устранена опасная уязвимость"  +1 +/
Сообщение от Андрей (??) on 24-Дек-14, 11:07 
>>запроксировать хакерскую атаку на пентагон

Вы так говорите, что это плохо...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

42. "В libpng устранена опасная уязвимость"  +2 +/
Сообщение от rachok email on 24-Дек-14, 14:40 
>>Вы так говорите, что это плохо...

Плохо когда ты участвуешь в этом без своего ведома

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 16:16 
>  Плохо когда ты участвуешь в этом без своего ведома

Особенно учитывая что вместо пентагона может оказаться и какое-нибудь ФСБ. Хакерам то пофиг - крепкие парни дверь снесут не им.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

15. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 00:31 
> Если у вас программы, использующие libpng, имеют достаточно
> прав, чтобы произвольный код, выполненный от их имени, был
> чем-то опасен - да, она самая.

Не только. Информация об уязвимости может напугать какого-нибудь директора, и если вам придётся в этот момент быть у него сисадмином, возникнет полная, описанная Мпегом ЛосАнжелосовичем, ситуация.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 01:25 
А при чём тут админ?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

54. "В libpng устранена опасная уязвимость"  –1 +/
Сообщение от arisu (ok) on 25-Дек-14, 07:08 
> А при чём тут админ?

при том, что люди видели шарашкины конторы и считают, что директора везде вникают в такую ерунду.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

5. "В libpng устранена опасная уязвимость"  +10 +/
Сообщение от Аноним (??) on 23-Дек-14, 22:08 
> а вот это жопа.

Да в пингвине то мы обновим libpng - и порядок. А вот юзеры виндов и макоси будут по всему диску выколупывать программы с персональной копией этой либы. Спасибо если не влинкованой статически.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "В libpng устранена опасная уязвимость"  –10 +/
Сообщение от Аноним (??) on 23-Дек-14, 22:30 
Я не понял, тебе есть че скрывать?)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "В libpng устранена опасная уязвимость"  +2 +/
Сообщение от Аноним (??) on 24-Дек-14, 01:09 
> Я не понял, тебе есть че скрывать?)

Я не понял, ты готов проксировать чужой траффик и отдуваться за чужие фокусы? :)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

35. "В libpng устранена опасная уязвимость"  +1 +/
Сообщение от Sluggard (ok) on 24-Дек-14, 09:20 
Он занят — пакует свои пассы, куки, и номера кредиток, чтоб архив на опеннете выложить.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

44. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 15:20 
Держи, запаковано на макоси http://rghost.net/59949300
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

46. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 16:18 
> Держи, запаковано на макоси http://rghost.net/59949300

Что это за лажа? Ни одного номера креды и пароля.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

38. "В libpng устранена опасная уязвимость"  –2 +/
Сообщение от Нанобот (ok) on 24-Дек-14, 10:53 
>А вот юзеры виндов и макоси будут по всему диску выколупывать программы с персональной копией этой либы.

это у линупсоедов такими страшилками пугают?
(в реальности юзеры виндов и макоси просто ничего не будут делать)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

39. "В libpng устранена опасная уязвимость"  +3 +/
Сообщение от Sluggard (ok) on 24-Дек-14, 11:01 
> это у линупсоедов такими страшилками пугают?

Как можно линуксоида напугать проблемами вендо- и макоюзеров? Не. Развлекают так. )

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

47. "В libpng устранена опасная уязвимость"  –2 +/
Сообщение от Нанобот (ok) on 24-Дек-14, 17:23 
да запросто, например: бойся венды, там юзеру приходится вручную искать на диске и обновляться библиотеки! жуть!  (З.Ы. большая часть российской(да и советской) пропаганды так работает(работала))
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "В libpng устранена опасная уязвимость"  +2 +/
Сообщение от Аноним (??) on 24-Дек-14, 19:11 
...и что характерно, советской пропаганде не было нужды ничего выдумывать.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "В libpng устранена опасная уязвимость"  +1 +/
Сообщение от Sluggard (ok) on 24-Дек-14, 20:42 
> бойся венды, там юзеру приходится вручную искать на диске и обновляться библиотеки! жуть!

Как говорил герой Александра Абдулова в одном замечательном телефильме: «Грязь не боятся. В неё наступать противно.»

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

10. "В libpng устранена опасная уязвимость"  –3 +/
Сообщение от S.L. email on 23-Дек-14, 22:55 
> Проблема вызвана переполнением кучи в функции png_combine_row()

"Переполнение кучи"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В libpng устранена опасная уязвимость"  +6 +/
Сообщение от Аноним (??) on 23-Дек-14, 23:09 
> "Переполнение кучи"?

Далёкий от программирования гуманитарий?

https://ru.wikipedia.org/wiki/%D0%9A%D1%...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В libpng устранена опасная уязвимость"  –6 +/
Сообщение от S.L. email on 23-Дек-14, 23:40 
Вот, кстати, в одном угадал, да, гуманитарий в нескольких поколениях. А в программировании с понятием "куча" не сталкивался, спасибо за пояснение.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

37. "В libpng устранена опасная уязвимость"  +/
Сообщение от edwin3d email(ok) on 24-Дек-14, 10:46 
> Вот, кстати, в одном угадал, да, гуманитарий в нескольких поколениях. А в
> программировании с понятием "куча" не сталкивался, спасибо за пояснение.

Добрый день.
Помимо ссылок на Wikipedia начните изучать теорию.
Если знакомы с B-деревьями, Вам сюда - http://habrahabr.ru/post/112222/
Если не в курсе работы таковых, то надо брать что-то не мозговыносящее ... да вот - http://books.google.com.ua/books/about/%D0%A1%...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

43. "В libpng устранена опасная уязвимость"  +2 +/
Сообщение от ананим on 24-Дек-14, 15:07 
В данном случае это другая куча.
> Структуру данных куча не следует путать с понятием куча в динамическом распределении памяти.

https://ru.wikipedia.org/wiki/Куча_%28структура_данных%29

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

12. "В libpng устранена опасная уязвимость"  –3 +/
Сообщение от ua9oas email(ok) on 23-Дек-14, 23:34 
Как много было случаев, чтобы этим кто воспользовался и могут ли от этой уязвимости защищать антивирусы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В libpng устранена опасная уязвимость"  +2 +/
Сообщение от Аноним (??) on 24-Дек-14, 00:27 
Были бы замечены случаи - была бы замечена и уязвимость. Потому количество случаев - либо 0, либо целое положительное число, либо один из этих трёх вариантов.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

21. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 01:42 
> этой уязвимости защищать антивирусы?

А тут все как с вирусом: сначала ты поймаешь простудифилис, а потом антивирус может и попробует его забороть. Отвалится ли у тебя в результате нос - как повезет.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

33. "В libpng устранена опасная уязвимость"  –3 +/
Сообщение от Аноним (??) on 24-Дек-14, 06:41 
> с чересстрочным кодированием

Библиотеку делали в 1960-м? Зачем это в наши дни?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "В libpng устранена опасная уязвимость"  +/
Сообщение от arisu (ok) on 25-Дек-14, 07:10 
>> с чересстрочным кодированием
> Библиотеку делали в 1960-м? Зачем это в наши дни?

тебе потом старшие пояснят, мальчик.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

41. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 24-Дек-14, 12:37 
И опять же: все пользуются, никто не проводит аудит и не коммитит изменения обратно. Зато своя, гордая лицензия.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "В libpng устранена опасная уязвимость"  +/
Сообщение от эцсамое on 24-Дек-14, 18:28 
на 1.6.12 не работает кстати.
как удачно я еще не обновился.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "В libpng устранена опасная уязвимость"  +1 +/
Сообщение от Мицгол on 24-Дек-14, 18:56 
Удолил libpng лучше буду сидеть в сети без кортинок как в фидонете.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "В libpng устранена опасная уязвимость"  –1 +/
Сообщение от тигар (ok) on 24-Дек-14, 22:40 
> Удолил libpng лучше буду сидеть в сети без кортинок как в фидонете.

боюсь шта местная убунтошколота не осилит всю искрометность юмора

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

56. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 25-Дек-14, 08:15 
> боюсь шта местная убунтошколота не осилит всю искрометность юмора

Какой оригинальный вариант сказки про п...сов и Д'Артаньяна.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

58. "В libpng устранена опасная уязвимость"  +1 +/
Сообщение от Аноним (??) on 25-Дек-14, 22:29 
> Какой оригинальный вариант сказки про п...сов и Д'Артаньяна.

Эх, школота :-) Уже даже не представляете себе зачем представители более старшего поколения собирались в сторожках предприятий по ночам попить пиваса под звук перешитого в курьер спортстера

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

59. "В libpng устранена опасная уязвимость"  +/
Сообщение от тигар (ok) on 25-Дек-14, 22:32 
>> Какой оригинальный вариант сказки про п...сов и Д'Артаньяна.
> Эх, школота :-) Уже даже не представляете себе зачем представители более старшего
> поколения собирались в сторожках предприятий по ночам попить пиваса под звук
> перешитого в курьер спортстера

ну они из другого времени. вcuntактике там, гоогле, убунту/виндоуз7. зачем им это. они и пиво-то не пьют, мама не разрешает

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

60. "В libpng устранена опасная уязвимость"  +/
Сообщение от Аноним (??) on 25-Дек-14, 23:12 
> ну они из другого времени. вcuntактике там, гоогле, убунту/виндоуз7

Ну, это уже старческое брюзжание, коллега. Далеко не вся молодежь так праздно прожигает время. Некоторые представители, такие как <sarcasm>Поттеринг</sarcasm> и пользу сообществу приносят. Идеи мудрые массам навязывают.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

61. "В libpng устранена опасная уязвимость"  +/
Сообщение от arisu (ok) on 25-Дек-14, 23:18 
> ну они из другого времени. вcuntактике там, гоогле, убунту/виндоуз7.

да, никакой романтики. то ли дело — смотреть на тмыло и гадать: «оборвётся — не оборвётся… оборвётся — не оборвётся…»

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

53. "В libpng устранена опасная уязвимость"  +/
Сообщение от mrd (??) on 25-Дек-14, 01:47 
Я так понимаю что ветка 1.4 и ниже не затронуты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру