The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проблемы безопасности в MPlayer и MediaWiki

15.12.2008 23:04

В MPlayer найдено переполнение буфера в коде функции demux_open_vqf(), что может привести к выполнению кода злоумышленника при открытии специально модифицированного TwinVQ файла. Исправление ошибки представлено пока только в SVN репозитории MPlayer.

В MediaWiki найдено 4 уязвимости, позволяющие злоумышленнику осуществить CSS атаку, инициировать выполнение вредоносного JavaScript при открытии страницы. Также найдена возможность совершения CSRF (Cross Site Request Forgery) атаки, направленной на совершения незапланированной системной операции, через незаметное перенаправление с другого сайта привилегированного пользователя wiki. Проблема исправлена в релизах MediaWiki 1.13.3, 1.12.1 и 1.6.11.

  1. Главная ссылка к новости (http://secunia.com/Advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/19405-mplayer
Ключевые слова: mplayer, web, mediawiki
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 03:22, 16/12/2008 [ответить]  
  • +/
    Таки я не понял, последние тарболы релиз кандидатов вышли хз как давно, о том что проект развивается можно судить только о росте номеров ревизий svn. А теперь вопрос
    >Исправление ошибки представлено пока только в SVN репозитории MPlayer.

    Что значит "пока"?

     
     
  • 2.3, онаним (?), 07:05, 16/12/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Что значит "пока"?

    значит что в тарбольном и бинарном вариантах дырочка ещё присутствует - что тут непонятного

     
     
  • 3.6, Аноним (1), 14:09, 16/12/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать дырок с той поры, кроме этой не было. Да и дистрибутивщики, мягко говоря, забили на тарбол, и давно бинарники штампуют из svn
     

  • 1.2, онаним (?), 06:52, 16/12/2008 [ответить]  
  • +/
    лол - тока вечером поставили
    <meta name="generator" content="MediaWiki 1.13.2" />
     
     
  • 2.4, User294 (??), 13:03, 16/12/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >лол - тока вечером поставили
    ><meta name="generator" content="MediaWiki 1.13.2" />

    Дырки не такие уж и страшные, но для профилактики лучше обновиться ИМХО.

     
     
  • 3.7, demimurych (?), 22:46, 16/12/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Как же Вы глубоко заблуждаетесь.

     

  • 1.5, User294 (??), 13:04, 16/12/2008 [ответить]  
  • +/
    > при открытии специально модифицированного  TwinVQ файла.

    Потребность проиграть такой файл подозрительна сама по себе - данный формат архиредко встречается in the wild :)

     
  • 1.8, Аноним (8), 08:06, 17/12/2008 [ответить]  
  • +/
    Зато 3 узявимости в MediaWiki. А файл будет выкладываться в Сеть, по-видимому, злоумышленниками специально. Зайдёшь на страничку, предложат проиграть что-нибудь, определит, что Mplayer и даст нужную ссылку... Так что какой у файла тип - не важно... Для браузера FireFox таким образом даётся ссылка на плагин: определяется браузер и даётся ссылка. Из недостовреного источника. Из-за новой уязвимости у меня уже два знакомых виндузятника пострадали. А всё потому, что само вылезло окно установки плагина, или "без Яндекс-бара файл с файлообменника не скачается!". Причём скачался он не с Яндекса. Это были доверчивые пользователи, а вирус, по счастью, определился Касперским после обновления.
    Когда выйдут бинари - обновлюсь.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру