The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в медиапроигрывателе VLC (проблема оказалась в libebml)

24.07.2019 10:57

В медиапроигрывателе VLC выявлена уязвимость (CVE-2019-13615), которая потенциально может привести к выполнению кода злоумышленника при воспроизведении специально оформленного видео в формате MKV (прототип эксплоита). Проблема вызвана обращением к области памяти вне выделенного буфера в коде распаковки медиаконтейнера MKV и проявляется в актуальном выпуске 3.0.7.1.

Исправление пока недоступно, как и обновления пакетов (Debian, Ubuntu, RHEL, Fedora, SUSE, FreeBSD). Уязвимости присвоен критический уровень опасности (9.8 из 10 CVSS). При этом разработчики VLC полагают, что проблема ограничивается лишь утечкой памяти и не может быть использована для организации выполнения кода или инициирования краха.

Дополнение: Разработчики VLC выяснили, что уязвимость не в самом VLC, а во внешней библиотеке libebm, проблемная версия которой поставляется в дистрибутиве Ubuntu 18.04, в окружении которого было продемонстрировано проявление проблемы. Сообщение об ошибке закрыто с рекомендацией обновить libebm для блокирования уязвимости (уязвимость устранена в выпуске libebml 1.3.6). В наборе библиотек в составе бинарных сборок VLC, поставляемых с сайта VideoLan, исправленная версия libebml поставляется начиная с версии 3.0.3, выпущенной более года назад.

  1. Главная ссылка к новости (https://www.welivesecurity.com...)
  2. OpenNews: Релиз медиапроигрывателя VLC 3.0.7. Ubuntu MATE переходит с VLC на Celluloid
  3. OpenNews: Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6
  4. OpenNews: Конфликт между Secunia и VideoLAN, связанный с устранением уязвимостей в VLC
  5. OpenNews: Выпуск медиаплеера VLC 3.0.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vlc, videolan
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (92) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:01, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Гениально!
     
     
  • 2.11, Ilya Indigo (ok), 11:38, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Гениально!

    Смотришь гхнуху, а эта гхнуха, в это время, гхнгхнгхн твой компьютер, и если у неё получится то и тебя лично.
    Это же новый уровень погружения и взаимодействия!

     
     
  • 3.20, Дегенератор (ok), 12:30, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да всю жизнь это было на порносайтах. Это типичный уровень боянистости 20 летней давности.
     
     
  • 4.25, Ilya Indigo (ok), 13:03, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Да всю жизнь это было на порносайтах. Это типичный уровень боянистости 20
    > летней давности.

    Так причём тут порносайт?
    Сайт это делает через скрипты и браузер, это понятно.
    А тут достаточно просто запустить видео-файл в vlc, а источником может быть хоть лицензионный диск купленный в магазине.

     
     
  • 5.31, iPony129412 (?), 13:22, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тема не нова. Уже несколько раз проходили
     
     
  • 6.38, forum reader (?), 14:20, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И часто тебе приходится вводить номер карточки для просмотра фильмов?
     

  • 1.2, iPony129412 (?), 11:03, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Уже со всех сторон пенетрируют
     
     
  • 2.54, Аноним (-), 17:08, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Да он сам по себе одна большая уязвимость. 15 лет прошло, а как прошил MKV'хи в квадраты в рандомных местах, так и продолжает с$ка крошить! Чтож такое то.
     
     
  • 3.61, епваывпв (?), 21:16, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сейчас УМВРщики набегут
     
  • 3.64, Michael Shigorin (ok), 23:35, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может, ядрышек ему подбросить, в смысле жрать больше одного разрешить?
     
     
  • 4.69, Аноним (-), 01:26, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так 4х-ядерный core i7. Тот же SMP ничего не крашит даже с одним ядром. Но интерфейс VLC мне нравится больше, так что раз в год по традиции ставлю новую версию и... те же квадратики.
     
     
  • 5.74, Michael Shigorin (ok), 09:45, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Так 4х-ядерный core i7. Тот же SMP ничего не крашит даже с одним ядром.

    Так у MP, если совсем "на пальцах" (и в меру своей некомпетентности в вопросе), вывод иначе построен и тормозить там относительно нечему.

    2 thresh: можешь пояснить насчёт разницы с постпроцессингом?  Я помню, что когда-то (может, даже до vlc 2.0) у вас это было больное место; вот суть разницы с mplayer и то, были ли изменения по ней -- начисто не помню или вовсе не знаю.  Ну или ссылку дать на одно из предыдущего миллиона объяснений :)

     
  • 4.84, iPony129412 (?), 05:41, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тут хоть подбрасывай, хоть набрасывай — толку не будет.
    Это уже давно мемом стало https://derpicdn.net/img/2016/9/23/1255944/medium.png
     

  • 1.3, thresh (??), 11:05, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это fake news, уязвимости в релизах нет - только memory leak: https://trac.videolan.org/vlc/ticket/22474
     
     
  • 2.7, Аноним (7), 11:17, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Забавное обсуждение. Такое ощущение, будто разрабы вообще не понимают, о чём идёт речь.
     
     
  • 3.9, thresh (??), 11:25, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Такое бывает, когда о проблеме (несуществующей) разработчикам не сообщают, а сразу идут в CVE-трекеры.

    Не надо так делать.

     
     
  • 4.15, Michael Shigorin (ok), 11:44, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я уж успел было подумать -- не объявлен ли средник дырок...
     
     
  • 5.29, thresh (??), 13:19, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обычная некомпетентность "security" "researcher"'ов, мы с ней постоянно сталкиваемся.

    Вот тут разьяснения: https://twitter.com/videolan/status/1153963312981389312?s=09

     
     
  • 6.52, Аноним (52), 16:24, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Во всём виновата libebml? Почему же её в трассировке не видно?
     
  • 6.65, Michael Shigorin (ok), 23:37, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Н-да, дополнение теперь изложено деликатно, но всё равно достаточно прозрачно.

    Собственно, почему предпочитаю обходить всякие askubuntu и тем более тамошние форумы в поисковой выдаче -- релевантность сильно ниже среднего, двадцать страниц бестолочей-митушников и хорошо если хоть кто-то на второй трети чё-то знал...

     
  • 4.26, Андрей (??), 13:08, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://trac.videolan.org/vlc/ticket/22474#comment:12

    > Replying to Jean-Baptiste Kempf:
    > > Once again, security contact is here: ​https://www.videolan.org/security/
    > ok.... I try email to security@…, but nobody response.So I post it on there.
    > https://trac.videolan.org/vlc/ticket/22474#comment:12

     
  • 3.22, vityusha (?), 12:48, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    среди разрабов VLC есть очень забавные и неадекватные типы. знаю по собственному опыту, когда 2 месяца доказывал им, что мой патч на 10 строчек решает проблему отображения VLC-шкой RTSP-потока, созданного точно такой же VLC-шкой.
     
     
  • 4.27, Андрей (??), 13:11, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я заметил, что они очень высокого мнения о своей компетенции, но при этом недооценённые бизнесом (плохо трудоустроенные). Отсюда я заключил причину заносчивости.
     
     
  • 5.50, Аноним (50), 16:18, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Весь айти в одной фразе.
     
     
  • 6.80, Аноним (80), 16:51, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Все уверены в своей компетентности - гомо сапиенс существо уныло примитивное )
     

  • 1.4, ryoken (ok), 11:10, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Есть mplayer/mpv + морды. VLC - для чего?
     
     
  • 2.32, Аноним (32), 13:41, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть кошерный MPC-QT даже под оффтопик, что ещё может быть нужно https://codecpack.co/download/mpc-qt.html
     
     
  • 3.35, ryoken (ok), 13:57, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть кошерный MPC-QT даже под оффтопик, что ещё может быть нужно https://codecpack.co/download/mpc-qt.html

    Вы, батенька, как-то уж совсем в оффтоп уехали :).

     
     
  • 4.66, Michael Shigorin (ok), 23:38, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы, батенька, как-то уж совсем в оффтоп уехали :).

    Офтопик в квадратике? :)

     
     
  • 5.72, ryoken (ok), 08:26, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Офтопик в квадратике? :)

    Экхм... надо у автора писания полюбопытствовать :D.

     
  • 3.70, Аноним (70), 03:03, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Not Found
     
  • 2.43, Ivan_83 (ok), 15:12, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    влц - хорошая утилита для отладки, то что некторые в ней ещё и кино смотрят - просто удивительно :)
     
     
  • 3.71, Аноним (71), 05:03, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да очень просто: делаю дабл-клик на файл, а затем жму 'F' на клавиатуре. Разницы с другими проигрывателями не нашел, только настроек больше в случае чего.
    Ах да, еще можно стримы твича/youtube-ссылки открывть.

    Может у вас ОС какая сложная, в которой приходится мучиться при выполнении простейших действий.

     
     
  • 4.73, ryoken (ok), 08:26, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может у вас ОС какая сложная, в которой приходится мучиться при выполнении
    > простейших действий.

    А оно уже перестало распиливать анимехи в MKV на квадратики?

     
     
  • 5.81, Аноним (81), 18:36, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала вы перестаньте школоло-релизы со всяких помоек качать.
     
     
  • 6.85, ryoken (ok), 08:51, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Сначала вы перестаньте школоло-релизы со всяких помоек качать.

    Подкиньте плз примеры непомоек. И почему-то то, что скачано, совершенно спокойно жрёт smplayer, хоть через mpv, хоть через mplayer.

     
  • 5.83, Аноним (83), 19:16, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сделанные узкоглазыми порномультики не нужны.
     
     
  • 6.86, ryoken (ok), 08:52, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сделанные узкоглазыми порномультики не нужны.

    Гы, ещё один баклан на шаблон сагрился :D.

     
     
  • 7.91, Аноним (91), 14:13, 27/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Някающие унтepменши тоже не нужны, не напрягайся.
     
  • 4.78, Ivan_83 (ok), 13:44, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ах да, еще можно стримы твича/youtube-ссылки открывть.

    Я только так и смотрю ютуп последние годы, но через мпв.

     
  • 2.46, Аноним (46), 15:32, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    когда мупэвэ (уже подзаброшенный) научится в блурай меню (да хотяб в двд обратно научится) тогда и поговорим.
    сам mpv юзаю но это полуфабрикат  (как и mplayer), умеющий во всё (зачем-то - because we can) но зато оставляющий желать лучшего во многих областях весьма критичных для медиаплеера... разрабы mpv увы полностью придерживались линии mplayer с курсом на илитность и суровость.
     
     
  • 3.87, ryoken (ok), 08:53, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > когда мупэвэ (уже подзаброшенный) научится в блурай меню (да хотяб в двд
    > обратно научится) тогда и поговорим.

    Скажите, а зачем вам меню? Я вот просто не знаю, что там такого может быть, что нужно больше, чем сам фильм?

     
     
  • 4.95, Аноним (95), 18:11, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Скажите, а зачем вам меню?"
    Для того, чтобы выбирать что-то посложнее одного фильма. Допы, клипы, серии.
     
  • 2.60, IRASoldier_registered (ok), 21:10, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть колбаса "Любительская". Сервелат - зачем?
     
  • 2.63, Аноним (63), 23:12, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    VLC для того, что просто работает сразу. Другие не смогли _так_ написать свои программы.
     

  • 1.5, m.makhno (ok), 11:11, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как связаны .mp4 и .mkv?..
     
     
  • 2.16, Аноним (16), 11:56, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    MPEG — это в том числе кодеки. Mkv — контейнер. Данные, закодированные MPEG, можно положить в контейнер mkv. Так понятно?
     
     
  • 3.18, m.makhno (ok), 12:03, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, анон, спасибо. А новость поправили уже (:
     
  • 3.53, Аноним (52), 16:26, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > MPEG — это в том числе кодеки.

    Речь в новости изначально была о MP4. Это — контейнер (MPEG-4 Part 14).

     

  • 1.6, Аноним (7), 11:12, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > в формате MP4
    > медиаконтейнера MKV

    Определитесь уже, что там за контейнер. В первоисточниках ни буквы про MP4 нет.

     
     
  • 2.8, Аноним (8), 11:18, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дык только патч добавили что бы и в MP4 был :D
     

  • 1.10, ua9oas (ok), 11:31, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И а почему у меня в "18.04" вещь сия уже несколько релизов подряд как не обновляется (по-прежнему он у меня там "3.04" (а в винде по-моему в первую очередь обновляется)).
    И как эта уязвимость может зависеть и от того, из под какой ОС VLC сей работает? (И а антивирусы могут ее заделывать?)
     
     
  • 2.13, iPony129412 (?), 11:39, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому Ubuntu LTS — это дистрибутив с заморозкой.
    Выпустили замороженную базу. Обновлять будут только, если есть секурные бреши (есть исключения).
     
     
  • 3.88, пох. (?), 16:31, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Выпустили замороженную базу. Обновлять будут только, если есть секурные бреши (есть исключения).

    ну вот - есть. Причем как говорят разработчики vlc - годичной давности.
    И чо?

    ведь модный-современный стиль кодоляпания не предполагает поддержки стабильных версий самими авторами, разработчики дистрибутива должны сами отслеживать миллионы проектов и их проблем с библиотеками пятисотого уровня косвенности.
    Которые еще и не спешат сообщать об исправлениях, даже если автор знает что это уязвимость (вполне может и нет).

     
     
  • 4.90, iPony129412 (?), 17:39, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ну вот - есть. Причем как говорят разработчики vlc - годичной давности. И чо?

    Ну вот и обновили "виновную" библиотеку libebml, как бомбануло. А пока не бомбануло, значит сиди с дыркой.

    Такова специфика стейбл дистрибутивов - ты можешь как и выиграть, так и проиграть.
    Пока все остальные страдают от новых внесённых изменений, у тебя более старое и проверенное.
    А может наоборот - ты сидишь с древней ошибкой, которая в новой версии починена.

    > Которые еще и не спешат сообщать об исправлениях

    Это да. Есть зачастую секурные обновления не помечаются особо.

     
     
  • 5.92, Kuromi (ok), 19:56, 27/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто бы это специфика только LTS. Был момент, что вышел VLC с поддержкой Хромкаста, но версия с ней попала только в следующую версию Убунты, а обновляться на нее ой как не хотелось так как там (по началу) жутко глючили дрова на видеокарту, а поставить более низкую версию дров мешал dependence-hell. В результате либо сиди на старойбез хромкаста  либо терпи зависания на новой. Третий вариант тоже так себе - новый VLC в виде снапа\флатпака.
     
  • 3.96, Аноним (95), 18:31, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В Ubuntu да. А в Debian 9 VLC обновили с 2 до 3 линейки. Не энтерпрайзненько.
     
  • 2.14, DerRoteBaron (ok), 11:42, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Потому, что Ubuntu LTS это "стабильный" дистрибутив, в котором софт протухает еще похлеще, чем в регулярно пинаемом за это Дебиане
     
     
  • 3.33, Аноним (32), 13:42, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дебиан - хорошо. Убунту - плохо.
     
  • 3.36, iPony129412 (?), 14:05, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому, что Ubuntu LTS это "стабильный" дистрибутив, в котором софт протухает еще похлеще

    Можно примеры?

     
     
  • 4.42, Аноним (42), 15:02, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    К сожалению можно. nginx тому примером. В репах 1.14.0. Понятно, что официально команда nginx советует использовать их репу и никто из родной nginx в здравом уме не ставит, но вот пример. Хочу заметить, что я сам при этом использую Ubuntu LTS на серверах с 6.06, то есть уже 13 лет. Но некоторые проблемы с несвежестью софта это не отменяет.
     
     
  • 5.44, iPony129412 (?), 15:29, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Отлично. А теперь пример как в Debian с этим лучше.
     
     
  • 6.45, Аноним (42), 15:31, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А это не ко мне, я — другой анон. Я просто привел пример с тем, что в Убунту бывает старый софт и не обновляется даже внутри ветки. На самом деле на обоих дистрах правильный выход это юзать репу предлагаемую разработчиками nginx
     
  • 5.89, пох. (?), 16:38, 26/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > К сожалению можно. nginx тому примером. В репах 1.14.0.

    а вы ведь так любите обмазаться свеженьким?

    > Но некоторые проблемы с несвежестью софта это не отменяет.

    засохший навоз недостаточно ароматен, да?

    P.S. использую nginx 1.7.10, что я делаю не так? Ровно после того, как недостаточно подсохшая версия начала давать segfault'ы - и причина их так и осталась невыясненной. Нужных мне изменений в проекте с тех пор, увы, не было.

     
  • 2.17, Аноним (17), 12:02, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе какбэ намекают открой для себя мир снап пакетов.
     
     
  • 3.48, Аноним (46), 15:37, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    открыл тут недавно. и сразу закрыл. обычное гномошапкоцентричное поделие.

    надо было тут одну софтину поставить - так у неё в зависимостях видать прописан ВЕСЬГНОМСОВСЕМБАРАХЛОМ. И начинает качать этот "базовый" гнум на ТЫСЯЧИ файлов. Прибиваю всё это. Качаю с pkgs.org билд нужной софтины для арча - вуаля - не хватает ОДНОЙ либы.

    вот и сказочке конец.

     
     
  • 4.51, Аноним (42), 16:24, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты пьяно и бредишь. snap вообще не имеет отношения к RH. И никакого гнома он не качает.
     
  • 2.41, Аноним (42), 14:59, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    snap info vlc name vlc summary The ultimate media player publisher Vid... текст свёрнут, показать
     
  • 2.94, ryoken (ok), 08:46, 29/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Посмотрите, что вошло в дверь!" :D
     

  • 1.12, Аноним (12), 11:38, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Астрологи объявили неделю уязвимостей?
     
     
  • 2.24, Аноним (24), 13:00, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нт. Кждй ндл сй йст.
     
     
  • 3.82, Аноним (81), 18:44, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Впервые узнал о существовании консонантного письма? Бывает. Сидя в своём политехе ты многое столь же интересное пропустил.
     

  • 1.19, Аноним (17), 12:03, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    VLC хорош чтобы там всякие mplayer/mpv шники не говорили.
     
     
  • 2.34, Аноним (32), 13:44, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Используй VLC говорили они.
     
  • 2.39, vantoo (ok), 14:31, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > VLC хорош чтобы там всякие mplayer/mpv шники не говорили.

    Ага, до сих бы им пользовался, если бы картинка не сыпалась и не лагала на слабых процах. А в остальном хорош.

     
     
  • 3.59, Аноним ещё один (?), 20:49, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда на планшете с атомом юзаю, не лагает чёто. Куда уж слабее в 2019м году? У тебя чё, пентиум-1?
     
     
  • 4.62, vantoo (ok), 21:49, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть у меня старенький нетбук 2013 года, на атоме. Под виндой тормзов нет, потому, что видео проигрывается через видеокарту, а вот под Linux для этой карты нет драйверов, поэтому видео обрабатывает проц. И уже 720р подлагивает в Youtube и VLC, а вот smplayer проигрывает без заметных подергиваний.
     
  • 3.67, Michael Shigorin (ok), 23:43, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну постпроцессинг у него такой...
     
  • 2.55, Ivan_83 (ok), 17:10, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Он малоюзабелен.
    Это больше инструмент для отладки чем плеер.
    А mpv это чисто плеер и ничего больше.
    VLC у меня взлетел только на планшете по юзабилити, на десктопе я им пользоватся категорически не могу - не удобно в нём смотреть.
    И периодически проблемы с аппаратным ускорением.
    Настроки mpv через конфиг файл на порядок понятнее и удобнее чем то что в vlc через гуй.
     

  • 1.21, CryNet (?), 12:46, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > (прототип эксплоита)

    Скачал
    Запустил
    Ничего не произошло
    ???

     
     
  • 2.30, Аноним (30), 13:21, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Теперь ты часть ботнета.
     
     
  • 3.58, CryNet (?), 20:48, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    одним больше, другим меньше
     

  • 1.23, VladSh (?), 12:53, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно, к приложению для Android это относится?
     
  • 1.28, Андрей (??), 13:15, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Придётся менять текст новости. Это уязвимость не в VLC, а утечка в старой(!) версии libebml. Версия 1.3.6 появилась в Debian 22 апреля прошлого года.
    https://trac.videolan.org/vlc/ticket/22474#comment:21
     
     
  • 2.57, анонн (ok), 19:04, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Придётся менять текст новости. Это уязвимость не в VLC, а утечка в
    > старой(!) версии libebml. Версия 1.3.6 появилась в Debian 22 апреля прошлого
    > года.
    > https://trac.videolan.org/vlc/ticket/22474#comment:21

    Не только в дебиане.

    https://svnweb.freebsd.org/ports?view=revision&revision=468042
    > Sun Apr 22 18:11:18 2018 UTC (15 months ago)
    > libebml
    > Update to upstream version 1.3.6

    https://svnweb.freebsd.org/ports?view=revision&revision=468044
    > Sun Apr 22 18:14:24 2018 UTC (15 months ago)
    > VLC
    > Bump PORTREVISION for ports depending on libmatroska

    Видимо, кто-то из "ресершерав" перебрал перебродившего на солнце смузи. Бывает.

     
     
  • 3.75, Аноним (75), 09:55, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо это бунта о*****. Ибо софт у них систематически тухлый в репах. То файрфокс тухлый с уязвимостями, а теперь это.
     
     
  • 4.77, iPony129412 (?), 11:22, 25/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну Ubuntu 19.04 это не касается, а вот Ubuntu 18.04 LTS - да.
    Debian Stretch тоже уязвим, а новый Debian Bullseye (вон только вышел) не имеет уязвимости.

     

  • 1.37, iPony129412 (?), 14:09, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Занятно. Кто-то тут про SNAP говорил, что это опасно, что типа библиотеки в SNAP пакете будут протухшие с дырками.

    Вот обратный пример. Уязвимость не касается ни Windows, ни macOS (ибо уже давным давно обновленная либа), а только VLC с традиционных около линуксовых реп.
    Секурность.

     
     
  • 2.40, thresh (??), 14:49, 24/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно в snap для VLC я использую по максимуму библиотеки не из дистрибутива.
     

  • 1.76, Аноним (7), 09:55, 25/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > уязвимость устранена в выпуске libebml 1.3.6)

    Смеха ради запустил "эксплоит" в vlc с libebml 1.3.6 под валгриндом. Получил пачку ошибок про перекрывание источника и получателя в memcpy. И то же самое на любом другом MKV. Блин, придётся же теперь на мастере проверять, чтобы зарепортить…

     
  • 1.79, Аноним (79), 15:57, 25/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А плееры в телевизорах тоже libebml используют?
     
  • 1.93, Аноним (93), 12:53, 28/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Кубунте 1904 запускается только из командной строки. Из меню или на файле помаячит в панели несколько секунд и завершается. "Они говорили: Ставь Линэкс. В нём свобода и выбор". :)
    https://radikal.ru/video/T5qRWEwwhcH
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру