The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В FFmpeg найдена уязвимость

30.01.2009 12:04

"FFmpeg 4xm Processing Memory Corruption Vulnerability" - в библиотеке FFmpeg найдена уязвимость, позволяющая организовать выполнение кода злоумышленника при обработке в приложениях использующих FFmpeg специальным образом модифицированного файла в формате 4xm. Проблема устранена в SVN репозитории проекта.

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/20040-FFmpeg
Ключевые слова: FFmpeg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, User294 (??), 16:18, 30/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ============
      2009/01/27 - FFmpeg maintainers notified
      2009/01/27 - Patch developed by FFmpeg maintainers
    ============
    А слабо так с проприетарщиками? :D
     
     
  • 2.2, Аноним (-), 17:36, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нет
     
     
  • 3.3, User294 (??), 18:12, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет

    Честно говоря, имеючи опыт общения с массой прприетарных шараг не знаю ни одной где бы сообщили о баге и клиент мог в тот же день через несколько часов получить исправленную версию.С ffmpeg'ом получить исправленную версию уже можно.Если ждать влом а прижало - чекаутом сорцев тупо.

     
     
  • 4.4, Аноним (-), 18:40, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык, уникальнось вашего личного опыта в том, что применим он только по отношению к вам.

     
     
  • 5.5, User294 (??), 19:17, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >по отношению к вам.

    Ну так может вы назовете проприетарщиков которые за примерно 2 часа (если верить ссылке) поправиди такой баг и кастомеры которых прижало могли получить фикс на проблему?

    Обычно с проприетарщиками эти 2 часа только будешь пинаться доказывая саппорту что не верблюд.Спасибо если не 2 дня.Или не 2 недели.Хотя может и другие бывают конечно.Так вы не стесняйтесь: имена таких героев - в студию.

     
     
  • 6.6, Аноним (-), 19:44, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Хвастаться нужно качеством продукта, а не моделью разработки. Позерством заниматься? Это удел опенсорсников, т.к. есть все к тому предпосылки.
     
     
  • 7.12, Guest (??), 22:47, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Хвастаться нужно качеством продукта, а не моделью разработки. Позерством заниматься? Это удел
    >опенсорсников, т.к. есть все к тому предпосылки.

    Улыбнуло :)) Что клепаешь в своей проприетарской конторе?

     
     
  • 8.13, Аноним (-), 03:21, 31/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Софт для фин анализа дейтельности группы предприятий... текст свёрнут, показать
     
  • 7.19, User294 (??), 19:14, 31/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Хвастаться нужно качеством продукта, а не моделью разработки.

    Понт секурити для любого крупного проекта плохо кончается.

    > Позерством заниматься?

    А я никак не отношусь к проекту ffmpeg (кроме разве что обнаружения в нем в свое время пары багов отрапортованных им).Так что заявы про позерство - мимо тазика.Я всего лишь констатировал факт.А если кому-то из проприетарщиков факты не нравятся - на вас стенок хватит.Можете уже убиваться с разбега с досады, я не возражаю.И кстати да, в моем понимании починка критичной проблемы за два часа и возможность через эти два часа получить исправленную версию а через три ее использовать - это тоже вид качества.Оперативность реакции на проблемы - это замечательное качество.

    >Это удел опенсорсников, т.к. есть все к тому предпосылки.

    У опенсорсников кроме растопыривания пальцев есть и ряд весьма приятных моментов.С опенсорцными проектами как правило иметь дело намного приятнее вообще - их цели не сводятся к только выжимке денег из клиента любыми методами.

     
  • 6.7, Аноним (-), 19:46, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Обычно с проприетарщиками эти 2 часа только будешь пинаться доказывая саппорту что не верблюд.Спасибо если не 2 дня.Или не 2 недели.Хотя может и другие бывают конечно.

    Аналогично - можно вспомнить пиджиновцев, или известный баг с page-writeback в линукс-ядре


     
     
  • 7.20, User294 (??), 19:17, 31/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Аналогично - можно вспомнить пиджиновцев, или известный баг с page-writeback в линукс-ядре

    С опенсорц проектами такое все-таки скорее исключение чем правило.А вот по части проприетарщины - можно вспомнить и дыры на которые микрософт клал после репорта многими месяцами если не годами до тех пор пока хакеры не начинали массово иметь юзеров.Ну а тогда ессно впопыхах клепается патч, когда юзеры начинают материться на вирье.


     
  • 6.11, Guest (??), 22:46, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    На назовет он, не надейтесь. Ибо не знает. Но защищать проприетарщину будет до последней капли крови потому что сам в быдлоконторе работает и некачественный дырявый софт - его хлеб и соль. Проходили.
     
     
  • 7.14, Аноним (-), 03:22, 31/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >На назовет он, не надейтесь. Ибо не знает. Но защищать проприетарщину будет
    >до последней капли крови потому что сам в быдлоконторе работает и
    >некачественный дырявый софт - его хлеб и соль. Проходили.

    хамлу не назову, да

     
  • 5.10, Guest (??), 22:44, 30/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну дык, уникальнось вашего личного опыта в том, что применим он только
    >по отношению к вам.

    Как минимум ко мне и моей конторе as well. От проприетарных решений ничего никогда не дождешься, за исключением мелких конторишек у которых каждый клиент на щету.

     
     
  • 6.15, Аноним (-), 03:25, 31/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >От проприетарных решений ничего никогда не дождешься, за исключением мелких конторишек у которых каждый клиент на щету

    Совершенно аналогичная ситуация с опенсорсными конторами (вспоминаем эпический баг ff2 с русской раскладкой)


     
     
  • 7.16, Alen (??), 10:57, 31/01/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>От проприетарных решений ничего никогда не дождешься, за исключением мелких конторишек у которых каждый клиент на щету
    >
    >Совершенно аналогичная ситуация с опенсорсными конторами (вспоминаем эпический баг ff2 с русской
    >раскладкой)

    Попробуйте с помощью этого "бага" выполнить свой код :)

     

  • 1.17, Аноним (17), 12:01, 31/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Попробуйте с помощью этого "бага" выполнить свой код :)

    Я это привел в качестве примера "очевидных преимуществ" opensource (которых на самом деле нет, если никто кроме разработчиков в коде не разбирается и не хочет). А если в плане безопасности - можно взять для примера всем известный марафон по скачиванию дырявого ff3.

     
  • 1.18, Аноним (17), 14:41, 31/01/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это был баг Gtk! Да и его многие просто не замечали, не все же русские. А кто змечал - ничего не говорили. Вот сказали бы - пофиксили бы быстрее.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру