The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблемы безопасности в MPlayer и MediaWiki"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от opennews (??) on 16-Дек-08, 03:22 
В MPlayer найдено (http://trapkit.de/advisories/TKADV2008-014.txt) переполнение буфера в коде функции demux_open_vqf(), что может привести к выполнению кода злоумышленника при открытии специально модифицированного  TwinVQ файла. Исправление ошибки представлено пока только в SVN (http://svn.mplayerhq.hu/mplayer/branches/1.0rc2/libmpdemux/d...) репозитории MPlayer.


В MediaWiki найдено 4 уязвимости (http://lists.wikimedia.org/pipermail/mediawiki-announce/2008...), позволяющие злоумышленнику осуществить CSS атаку, инициировать выполнение вредоносного JavaScript при открытии страницы. Также найдена возможность совершения CSRF (Cross Site Request Forgery) атаки, направленной на совершения незапланированной системной операции, через незаметное перенаправление с другого сайта привилегированного пользователя wiki. Проблема исправлена в релизах MediaWiki 1.13.3, 1.12.1 и 1.6.11.

URL: http://secunia.com/Advisories/33133/
Новость: http://www.opennet.ru/opennews/art.shtml?num=19405

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от Аноним (??) on 16-Дек-08, 03:22 
Таки я не понял, последние тарболы релиз кандидатов вышли хз как давно, о том что проект развивается можно судить только о росте номеров ревизий svn. А теперь вопрос
>Исправление ошибки представлено пока только в SVN репозитории MPlayer.

Что значит "пока"?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от онаним on 16-Дек-08, 06:52 
лол - тока вечером поставили
<meta name="generator" content="MediaWiki 1.13.2" />
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от онаним on 16-Дек-08, 07:05 
>Что значит "пока"?

значит что в тарбольном и бинарном вариантах дырочка ещё присутствует - что тут непонятного

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от User294 (??) on 16-Дек-08, 13:03 
>лол - тока вечером поставили
><meta name="generator" content="MediaWiki 1.13.2" />

Дырки не такие уж и страшные, но для профилактики лучше обновиться ИМХО.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от User294 (??) on 16-Дек-08, 13:04 
> при открытии специально модифицированного  TwinVQ файла.

Потребность проиграть такой файл подозрительна сама по себе - данный формат архиредко встречается in the wild :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от Аноним (??) on 16-Дек-08, 14:09 
Можно подумать дырок с той поры, кроме этой не было. Да и дистрибутивщики, мягко говоря, забили на тарбол, и давно бинарники штампуют из svn
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от demimurych email on 16-Дек-08, 22:46 
Как же Вы глубоко заблуждаетесь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Проблемы безопасности в MPlayer и MediaWiki"  
Сообщение от Аноним (??) on 17-Дек-08, 08:06 
Зато 3 узявимости в MediaWiki. А файл будет выкладываться в Сеть, по-видимому, злоумышленниками специально. Зайдёшь на страничку, предложат проиграть что-нибудь, определит, что Mplayer и даст нужную ссылку... Так что какой у файла тип - не важно... Для браузера FireFox таким образом даётся ссылка на плагин: определяется браузер и даётся ссылка. Из недостовреного источника. Из-за новой уязвимости у меня уже два знакомых виндузятника пострадали. А всё потому, что само вылезло окно установки плагина, или "без Яндекс-бара файл с файлообменника не скачается!". Причём скачался он не с Яндекса. Это были доверчивые пользователи, а вирус, по счастью, определился Касперским после обновления.
Когда выйдут бинари - обновлюсь.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру