forum.opennet.ru

"Уязвимости в реализации JPEG XL из состава FFmpeg"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Уязвимости в реализации JPEG XL из состава FFmpeg"	+/–
Сообщение от Аноним (-), 31-Янв-24, 11:49
> У меня самосборный ffmpeg, но это ровно тот же баг в ffmpeg. > И по упоминаниям в обсуждении он же. Судя по обсуждению на гитхабе как я понимаю эту историю: 1) Отгружаемый гуглей в какой-то специфичной ситуации чанк - таки нарушает спеки стандарта. И это косяк не ffmpeg а именно гугли. А то что оно работало - результат laxed отношения к стандарту. Т.е. все строго наоборот относительно того что вы тут вопили. 2) ffmpeg запилил более строгое соответствие стандарту в какой-то момент - ибо fuzzer на это ругался. 3) После обнаружения что это ведет к траблам - ffmpeg сделали как вариант работы с строгим комплайнсом стандарту, так и laxed. А что еще они могут на своей стороне сделать? По моему - you're wrong on so many levels... а самый кривой в этой истории гугол, отгружающий нестандартный чанк, не? Хотя на специальный слом даунлоадеров не похоже, просто совпало забавно.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимости в реализации JPEG XL из состава FFmpeg, opennews, 30-Янв-24, 14:44 [смотреть все]

Вот тебе и JPEG XL , Аноним, 30-Янв-24, 14:44 (1) //
- FFmpeg днище, это ни для кого не секрет У него все собственные парсеры и муксер, Аноним, 30-Янв-24, 14:54 (3) //
  - Днище не днище, а у многих пакетов в зависимостях Без него многое не соберется , Аноним, 30-Янв-24, 15:17 (12) //
    - Это самое страшное И популярная альтернатива в лице VLC ещё хуже Ну, есть полн, Аноним, 30-Янв-24, 15:30 (15)
      - В отличие от тебя VLC и FFmpeg, Аноним, 30-Янв-24, 15:50 (24)
        
        Они что Не заботятся о работе или хотя бы соответствии спецификациям, положили , Аноним, 30-Янв-24, 16:02 (28)
        
        В соответствии с этими спеками в так называемом MP4 может быть все что угодно , Аноним, 30-Янв-24, 23:14 (73)
      - Как в анекдоте стратегию я вам рассказала, а дальше вы как-нибудь сами , Аноним, 30-Янв-24, 22:40 (68)
      - А самое забавное - что vlc как раз таки и сам пользуется ffmpeg овскими либами ч, Аноним, 30-Янв-24, 23:04 (70)
        
        Это опциональная зависимость Кто им только не пользуется, но важен результат G, Аноним, 30-Янв-24, 23:22 (74)
        
        Он настолько опциональный - что я ни разу в жизни VLC без ffmpeg ской либы не ви, Аноним, 31-Янв-24, 00:06 (78)
        
        Это одна из немногих прог, умеющая mpeg4 BIFS которого нигде нету BIFS - это , Аноним, 31-Янв-24, 02:05 (84)
        
        В этом мире много странной фигни Скажем у меня как-то был webm с VP10 А, что, Аноним, 31-Янв-24, 03:28 (90)
  - Критикуя - предлагай Покажи мне универсальный либ лучше, жрущий столько же форм, Аноним, 30-Янв-24, 22:58 (69) //
    - А зачем Gstreamer поддерживает все адекватные форматы контейнеров и кодеков То, Аноним, 30-Янв-24, 23:08 (72)
      - Он поддерживает в разы менее форматов и вообще - кривая глючная байда под узкие , Аноним, 30-Янв-24, 23:31 (75)
    - Кто тебе такое придумал Критиковать это в первую очередь дать толчок подумать а, Аноним, 31-Янв-24, 18:05 (115)
  - напиши своё, покажи класс чтобы все видели, как у тебя всё работает без малейшей, Аноним, 31-Янв-24, 07:01 (94)
  - Это днище Голливуд использует, Аноним, 01-Фев-24, 05:55 (118) //
    - Маловероятно Исчезающе маловероятно Или ты про куски в продуктах адобы Да, он, Аноним, 01-Фев-24, 10:27 (123)
- При чем здесь JPEG XL Сишочники где угодно int переполнят и за буфер вылезут , Аноним, 30-Янв-24, 15:21 (13) //
  - Дак а нафига ты юзаешь этот дырявый ffmpeg Напиши свой на безопасном языке или , Аноним, 30-Янв-24, 16:43 (41) //
    - Каким образом твои умничния относятся к моему вопросу , Аноним, 30-Янв-24, 17:35 (53)
      - Таким образом, что ffmpeg и jpegXL - это чистое байтодрочерство, где Си - идеаль, Аноним, 30-Янв-24, 17:40 (54)
        
        Ахаха И как два байта отослать они вышли за пределы массива и выполнили чужой к, Аноним, 30-Янв-24, 18:11 (60)
        
        Фигня это все Несмотря на эту ошибку, они смогли написать целый ffmpeg А раста, Аноним, 30-Янв-24, 18:29 (62)
        
        Вот опять - тебе пишут про си, а ты на раст съезжаешь Зачем так Так на прекрасн, Аноним, 30-Янв-24, 19:20 (65)
        
        Ну вы же не написали на чем угодно аналог ffmpeg, так что он по своему прав А , Аноним, 30-Янв-24, 23:36 (76)
        
        Чел, с тобой все хорошо С какими моими борроу чекерами, если я о Расте даже н, Аноним, 30-Янв-24, 22:00 (67)
  - Это на чём угодно может произойти, Бывалый смузихлёб, 30-Янв-24, 18:06 (59) //
    - Даже на хрусте в релизных билдах, что забавно Ибо рантайм чек этого добра - оче, Аноним, 30-Янв-24, 23:38 (77)
  - удали всё, что написано на сях полностью всё и микросхему с биосом от платы от, Аноним, 31-Янв-24, 07:14 (95)
- А чо вы хотели, там же полнота по Тьюрингу Туда любую малварь при желании вмес, Аноним, 31-Янв-24, 09:50 (104)
Но зачем Что они хотели выиграть таким образом Или опять в дыряшечном стиле чере, Аноним, 30-Янв-24, 15:06 (8) //
- тяжело без математики -D, Аноним, 30-Янв-24, 15:16 (11)
- После недавней истории с mp4 я окончательно убеждён, что ffmpeg занимаются совер, Аноним, 30-Янв-24, 15:24 (14) //
  - ссылку, poop, 30-Янв-24, 15:45 (21) //
    - https github com yt-dlp yt-dlp issues 8641но насколько я понял всё серьёзнее и, Аноним, 30-Янв-24, 15:51 (25)
      - ffmpeg это не про качественный код, это про код, который умеет кучу всего но с , Аноним, 30-Янв-24, 20:08 (66)
        
        И заменить нечем , Аноним, 30-Янв-24, 23:05 (71)
        
        Глобально - нет, местами - можно Понимаешь, ffmpeg - это большое дерево кода дл, Аноним, 31-Янв-24, 19:04 (116)
        
        Однако ffmpeg имеет забойное преимущество перед вон теми на входе может быть лю, Аноним, 01-Фев-24, 11:14 (126)
      - Кажется, ты ничего не понял А по твоей ссылке написано, что помог A workarou, Аноним, 31-Янв-24, 02:17 (85)
        
        Т е битые файлы выдал ютуб - а хомячок предъявил ффмпегу О времена, о нравы Мо, Аноним, 31-Янв-24, 03:56 (92)
        Ну фантазируешь, видно Файлы не битые 20 лет было нормально собирать dash в фа, Аноним, 31-Янв-24, 09:35 (102)
        
        Представляешь, чувак В онлайн сервисе владелец сервиса может в любой момент что, Аноним, 31-Янв-24, 11:01 (107)
      - Опенсуса в репах тащит особую сборку ffmpeg из которой вырезано всё с патентным, Аноньимъ, 31-Янв-24, 02:27 (89)
        
        Или к вопросу за что патентованые форматы не лю в вебе Но вы можете юзать росий, Аноним, 31-Янв-24, 03:52 (91)
        У меня самосборный ffmpeg, но это ровно тот же баг в ffmpeg И по упоминаниям в , Аноним, 31-Янв-24, 10:17 (106)
        
        Судя по обсуждению на гитхабе как я понимаю эту историю 1 Отгружаемый гуглей в , Аноним, 31-Янв-24, 11:49 (108)
Это теперь в новости попадают баги из нерелизных версий Дожились , Аноним, 30-Янв-24, 15:31 (16) //
- По факту, на уязвимость обратили внимание Не обратили бы - её эксплуатировали б, Bottle, 30-Янв-24, 16:10 (30)
- Так NSA нужно же как-то продвигать использование безопастных языков со строго ко, Аноним, 30-Янв-24, 16:14 (31) //
  - О, новые теории заговора от поехавших В безопастных языках, легко и непренужденн, Аноним, 30-Янв-24, 16:50 (45) //
    - Ну что ты так, среди r rust попадаются и нормальные люди Наверное NSA Recommend, Аноним, 31-Янв-24, 02:21 (87)
      - А я думал вы о SWoDL, Аноним, 01-Фев-24, 05:59 (119)
О, зашибись Открыл картинку и твой комп похачили Fixes out of array access- , Аноним, 30-Янв-24, 15:36 (17) //
- Не совсем, эту картинку надо открыть самим ффмпегом или софтом который его обора, Аноним, 30-Янв-24, 15:48 (22) //
  - Проблема что in general ты не знаешь кто юзает FFmpeg Потому что его юзает куча, Аноним, 30-Янв-24, 15:57 (26) //
    - Но с практической точки зрения - сколько народа вот именно ffmpeg ом что-то дела, Аноним, 31-Янв-24, 00:32 (79)
  - Ну залей на разные видеохостинги или банки картинок, проверь , Аноним, 01-Фев-24, 06:01 (120)
- Спорим ты бы никогда не нашёл и не пофиксил А так то легко быть умным, когда за, Аноним, 30-Янв-24, 16:23 (36)
- Но в Раст-то тоже можно переполнить инт и выполнить код за пределами oh wait , Аноним, 31-Янв-24, 08:12 (96) //
  - Вообще не айти, но давно в лекции слышал, что на переполнения стоит трейт, где о, Аноним Ваноним, 31-Янв-24, 09:12 (99) //
    - Сперва поинтересуйся как работает процессор Потом - подумай захочешь ли ты плат, Аноним, 31-Янв-24, 12:12 (109)
В Firefox уже завезли, найс, Mozilla не может без дыр, так ещё с Осла поведено и, Аноним, 30-Янв-24, 15:59 (27) //
- В firefox бандлится проблемная 6 версия ffmpeg кстати Но, как показали авторы f, Аноним, 30-Янв-24, 16:23 (35)
Ошибки прям типи-кал СИ Тут и int overflow, и out of array access, и как вишенка, Аноним, 30-Янв-24, 16:10 (29)
Подскажите аналог на Rust , Аноним, 30-Янв-24, 16:16 (32) //
- Его нету, Аноним, 30-Янв-24, 16:38 (39)
- Есть чистый раст github com tirr-c jxl-oxideЕсть тоже чистый раст, но уже комбай, Аноним, 30-Янв-24, 16:47 (43) //
  - докажиИ вообще вопрос таков, более конкретно подскажите аналог ffmpeg на Rust, Другой Аноним, 30-Янв-24, 18:04 (58)
  - Это немного не аналог ffmpeg по возможностям и форматам Ну так, мелочи какие , Аноним, 31-Янв-24, 00:33 (80) //
    - Это реализация декодировщике формата JPEG XL Которой достаточно для - внезапно -, Аноним, 31-Янв-24, 01:31 (83)
      - Уровень безумия этого нефанатика заценили , Аноним, 31-Янв-24, 02:17 (86)
      - Чтобы что Дописать остальную функциональность ffmpeg - это мягко говоря не моме, Аноним, 31-Янв-24, 08:45 (98)
Ну всё, допатчились , Аноним, 30-Янв-24, 16:17 (33)
Битые mp4 это вообще ни в какие ворота Я откатился с 6 баг появился в версиях , Аноним, 30-Янв-24, 16:19 (34)
Но чтобы буффер переполнить, нужна картинка на 8388608 тибибайт Боюсь, что это , Аноним, 30-Янв-24, 16:28 (37) //
- Sparse файл ksm какой-нибудь, вполне осуществимо , Аноним, 30-Янв-24, 16:38 (40) //
  - KSM - это известная дыра См dedup est machina , Аноним, 30-Янв-24, 17:04 (49) //
    - Ну тогда и колеса тебе ни к чему c анекдот про жигуль и мужика В смысле, то, Аноним, 31-Янв-24, 12:14 (110)
      - Не могу - уже отключён 175 _ 12484 _ 175 , Аноним, 31-Янв-24, 21:36 (117)
        
        Так, круто RCU наверное надо еще отпатчить нафиг, а то как же это - при форке н, Аноним, 01-Фев-24, 09:13 (122)
  - В полнолуние високосного года, если это четверг, и прошел дождичек, а на горе за, Аноним, 31-Янв-24, 00:37 (81) //
    - При передаче по сети нули тоже сожмутся в ничто , Аноним, 31-Янв-24, 00:41 (82)
      - Вот прям в ничто Ух, где б такой кодек то взять Я б взял парочку А то даже ес, Аноним, 31-Янв-24, 04:07 (93)
        
        Не хочешь качать, передай zip-bomb , Аноним, 31-Янв-24, 09:26 (101)
        
        Сейчас дофига кода если ratio выше разумного - просто сразу зарубает процессинг , Аноним, 31-Янв-24, 12:17 (111)
        
        ТЫ не представляешь, как часто проверок оказывается недостаточно А на ffmpeg на, Аноним, 31-Янв-24, 12:26 (112)
        
        Спасибо, я почитал гитхаб Там одно только code DO NOT REMOVE OR SKIP THE ISSUE, Аноним, 31-Янв-24, 16:50 (113)
        
        Теперь тебе пользователи умом не вышли, красавчик Это всё не имеет значение, са, Аноним, 31-Янв-24, 17:10 (114)
        
        Что вижу - то и пою Вроде единственный проект где я ТАКУЮ плашку видел Явно не, Аноним, 01-Фев-24, 10:56 (124)
- Не обязательно Может там есть еще одна узявимость, которая позволяет хакнуть раз, Аноним, 30-Янв-24, 16:44 (42)
- Не смей его критиковать Да он делает овно, но зато какое И мы будем противить, Аноним, 30-Янв-24, 16:53 (46)
- Не смей его критиковать Да он делает овно, но зато какое И мы будем противить, Аноним, 30-Янв-24, 17:02 (48) //
  - тогда не будет повода поныть на форуме и придётся работать, Аноним, 30-Янв-24, 17:16 (51)
  - Внимание Все видите Вот вам живой пример, как растоманы заставляют юзать их со, Аноним, 30-Янв-24, 18:04 (57) //
    - Несуществующий Вот садисты , Аноним, 31-Янв-24, 02:27 (88)
  - А почему не на go или zig , Аноним, 01-Фев-24, 06:11 (121)
Правильно ли я понял ситуацию Гипотетически могло произойти следующее сегодня , Данные в так называемом поле Name, 31-Янв-24, 09:24 (100) //
- Гипотетически много чего может произойти Например все молекулы воздуха выйдут и, Аноним, 01-Фев-24, 11:00 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру