Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в FFmpeg, позволяющая выполнить код при обработке mp4-файлов"	+/–
Сообщение от opennews (??), 01-Окт-22, 10:00
Исследователи безопасности из компании Google... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57853
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 01-Окт-22, 10:00	+1 +/–
Главное - ни в коем случае не сохранять размер выделенного блока и не проверять его при обращении к этой памяти - ОПТИМИЗАЦИЯ!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от n00by (ok), 01-Окт-22, 10:10	+2 +/–
Вы будете смеяться - но размер блока сохраняется (либо может быть определён) менеджером кучи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

3. Сообщение от Аноним (3), 01-Окт-22, 10:27	+/–
Упс. Кто-то торопился дописать код)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

4. Сообщение от Аноним (4), 01-Окт-22, 10:42	+17 +/–
Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в сишечке, я отвечу: выходят за границы массивов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #58

5. Сообщение от Аноним (7), 01-Окт-22, 10:52	+/–
Всё как обычно у ffmpeg. А вот будете знать как бандлить ffmpeg.
Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Fracta1L (ok), 01-Окт-22, 10:53	+5 +/–
Первый вирус, который передаётся через порно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #16, #60

7. Сообщение от Аноним (7), 01-Окт-22, 10:53	+1 +/–
Попробуй потоньше, переполнение происходит даже в святом расте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12, #23

8. Сообщение от rm2 (?), 01-Окт-22, 10:54	+/–
Вот бы кодерам которые выполняют чужой код из mp4-файлов можно было как-то запрещать программировать навсегда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

9. Сообщение от Аноним (7), 01-Окт-22, 10:54	+1 +/–
Мимо, 10 лет назад это уже проходили, опять же с ffmpeg.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10

10. Сообщение от Герострат (?), 01-Окт-22, 10:58	+5 +/–
Второй вирус, который передаётся через порно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #25, #62

11. Сообщение от Аноним (11), 01-Окт-22, 11:03	+3 +/–
проще запретить тебе смотреть порнуху. навсегда!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от Анонн (?), 01-Окт-22, 11:23	+/–
Попробуй потоньше, а что на счет выхода за границы массива?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

13. Сообщение от Аноним (13), 01-Окт-22, 11:42	+17 +/–
В данной ситуации, менеджер кучи - это лид пропустившие сие непотребство в релиз?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #26, #34

14. Сообщение от Геймер (?), 01-Окт-22, 11:47	+1 +/–
Вывод: mp4 плохой
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

16. Сообщение от Аноним (16), 01-Окт-22, 11:54	+1 +/–
Это не вирус, у него отсутствует свойство заражения исполняемых файлов в системе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #33, #54

18. Сообщение от Rev (?), 01-Окт-22, 13:07	+/–
Понапишут на древних небезопасных языках, потом фиксят уязвимости десятилетиями...
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (20), 01-Окт-22, 13:47	+/–
> Уязвимость проявляется начиная с ветки FFmpeg 5.1 - Обновляйтесь, - говорили они. - Это безопасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #24, #28, #30

23. Сообщение от Аноним (4), 01-Окт-22, 13:51	+2 +/–
Но произошло опять в сишечке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

24. Сообщение от Аноним (24), 01-Окт-22, 14:21	+2 +/–
Да ладно, норм разработка. Поймано 10 багов, добавлено 100 новых. И нужно больше золота!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

25. Сообщение от Аноним (24), 01-Окт-22, 14:22	+/–
Не волнуйся, ЗППП тебе не грозят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

26. Сообщение от dullish (ok), 01-Окт-22, 14:28	+7 +/–
Какая прелесть! И тонко и толсто одновременно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

27. Сообщение от Kuromi (ok), 01-Окт-22, 15:06	+1 +/–
Скорее это значит, что он популярный (не сомтря ни на что). Наверняка в обработке других контейнеров тоже есть баги, но просто там не копают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

28. Сообщение от Michael Shigorin (ok), 01-Окт-22, 15:26	+/–
http://packages.altlinux.org/ffmpeg :-]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #44

29. Сообщение от YetAnotherOnanym (ok), 01-Окт-22, 15:40	+/–
Надо же, как вовремя, прямо к выходу кодека на основе машинного обучения. Переходите на наш кодек, а мы будем готовить актуальные наборы данных для обучения, отражающие реалии текущей ситуации. Жена вам скажет "сходи за хлебом", а наш декодер озвучит "выходи на протесты".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

30. Сообщение от Аноним (30), 01-Окт-22, 16:00	–1 +/–
можно пойти по пути мелкозадых, сначала задолбать всех калечными апдейтами требующими ребутов, потом без апдейтов всё превращается в гадюшник и нужно доблестно превозмогать и лечить от порношифрователей всю бюстгалтерию, а при повторном включении апдейтов непрошенно накатывается w11 с поломанным битлокером который фарширует ваши данные необратимо, в отличие от порновымогателя)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

33. Сообщение от Аноним (33), 01-Окт-22, 16:13	+/–
Ладно, плазмид.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

34. Сообщение от n00by (ok), 01-Окт-22, 16:16	+3 +/–
Берите выше - в ISO/IEC 9899.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #38

38. Сообщение от ХрюХрю (?), 01-Окт-22, 16:50	–1 +/–
И все потому что не на расте?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #49

44. Сообщение от Аноним (44), 01-Окт-22, 18:59	–2 +/–
Старьевщики - alt не участвует в разработке и только складирует. Смотри - в 90-ых у нас в лесу устанавливали опоры освещения, после известных событий в 91 все это дело забросили. Технология опор освещения открыта, но почему то вернулись к ней только через 30 лет. Как ты думаешь, к ffmpeg теперь ты через сколько вернешься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #57

45. Сообщение от Аноним (45), 01-Окт-22, 18:59	+1 +/–
> A heap out-of-bounds memory write Ну что ж такое! И сюда ненастоящие сишники прокрались и херни напрогали. Впору заподозрить заговор растоманов против сишки и православия. Прикидываются настоящими сишниками и пролазят в проекты, чтобы по наущению гугла и зог писать cve в сишные проекты и дискредитировать язык на котором сам Иисус скрепы программировал.
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 01-Окт-22, 19:21	–1 +/–
В репах Debian Stable лежит 4.3.4 Итог: опять страдают обновисты
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #53

49. Сообщение от n00by (ok), 01-Окт-22, 19:43	–2 +/–
Никто не запрещает реализовать свой менеджер памяти. «Универсальный» вообще-то для серьёзных применений непригоден по определению, поскольку является заведомо компромиссным решением. Но для фанатов свеженький Розы эти очевидные вещи достаточно сложны, т.к. у их ведущего #define объявляет переменную, потому надо прилепить Раст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

50. Сообщение от Геймер (?), 01-Окт-22, 20:21	+1 +/–
$ ffmpeg -version ffmpeg version 4.3.4-0+deb11u1 Copyright (c) 2000-2021 the FFmpeg developers Легаси сила
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от НяшМяш (ok), 01-Окт-22, 20:23	+/–
Вороны учат жить орлов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

53. Сообщение от Аноним (53), 02-Окт-22, 00:50	+/–
Обновление прилетело сразу, никто не пострадал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

54. Сообщение от Бывалый смузихлёб (?), 02-Окт-22, 05:55	+1 +/–
Затолкают функционал заражения - будет заражать. А поскольку заражать будет видеофайлы - антивирусы его вряд ли ловят Эдак весе видосы незаметно могут стать заразными Кстати, бизнес-идея: вирус шифрует прон/ добавляет в него какое-то сообщение почти на весь кадр с требованием отправить энную сумму на энный счёт для разблокировки )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

55. Сообщение от мелкософта (?), 02-Окт-22, 11:58	–1 +/–
И тут ты нам выкатываешь и показываешь свой идеальный код?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #59

56. Сообщение от anonymous (??), 02-Окт-22, 23:06	+/–
это че, значит есть шанс взломать прошивку например гибридных фотоаппаратов?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

57. Сообщение от Michael Shigorin (ok), 02-Окт-22, 23:12	–1 +/–
Точно-точно? http://github.com/ilyakurdyukov/e2k-ports/blob/main/ffmpeg-4...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #64

58. Сообщение от Michael Shigorin (ok), 02-Окт-22, 23:13	+1 +/–
> Если я усну и проснусь через сто лет ...то попросите кушать, подозреваю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

59. Сообщение от Michael Shigorin (ok), 02-Окт-22, 23:17	–1 +/–
> И тут ты нам выкатываешь и показываешь свой идеальный код? Не, только чешский айпишник. PS: я про #42
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

60. Сообщение от Аноним (60), 03-Окт-22, 04:33	+2 +/–
Термин "вирусный ролик" обретает новое значение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

62. Сообщение от MihaNix (ok), 03-Окт-22, 09:13	+/–
Помнится в DivX Player похожее наблюдалось, при открытии подготовленного avi файла. Потом в какой-то поздней версии с файлом субтитров они так же лоханулись.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

63. Сообщение от randomize (?), 04-Окт-22, 20:46	+/–
На них есть libavformat.so?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

64. Сообщение от Аноним (64), 09-Окт-22, 00:10	+/–
А патч для firefox где? Ты говорил что пишут, 3 года назад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема