forum.opennet.ru

"0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–4 +/–
Сообщение от dasd (?), 28-Сен-23, 21:49
>Или заставлять учить наизусть весь список UB для С99 https://gist.github.com/Earnestly/7c903f481ff9d29a3dd1 #$% как мне нравятся такие кукареки. Не читали, не поняли, но осуждают. UB обычно подсвечивается варнингами компилятора. В половине случаев этого списка, UB в стиле "программист [s]даун и[/s] поставил кавычку в конце ключевого слова. У нас нет предпочтения, как вы его назовёте." Или вот, великолепное, "A pointer is converted to other than an integer or pointer type". UB конечно, указатель 64 преобразовать в float, ага. Или в более [s]других[/s] безопасТных языках это возможно? Ой, нет, там же указатель это "страшно-страшно", его вообще не дают в руки. Вторая половина - про библиотеку. Тоже UB в основном про ограничения. Например, "The number of characters transmitted by a formatted output function is greater than INT_MAX (7.19.6.1, 7.19.6.3, 7.19.6.8, 7.19.6.10). " Эээ, выходная строка чего то вроде fprintf не может быть длиннее INT_MAX. o_O ну так проверяйте вход. Это в любом языке нужно делать. Нефиг в "%s %s %s" без проверки что угодно выводить. А UB-примечание к malloc вообще офигенное: The value of the object allocated by the malloc function is used (7.20.3.3). Содержание памяти, ссылку на которое вернул malloc, будет произвольным. Вывода не будет.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8, opennews, 28-Сен-23, 10:55 [смотреть все]

Уязвимость этой библиотеки в фоксе будет исправлена сегодня в 115 3 1esr и 118 0, Аноним, 28-Сен-23, 10:55 (1) //
- В дебианы и убунты фикс уже прилетел в пакетник и на линухе софт уже пофикшен , Аноним, 30-Сен-23, 02:52 (103)
Для Яндекс браузера критично , Анонит, 28-Сен-23, 11:00 (2) //
- да, Аноним, 28-Сен-23, 12:09 (20) //
  - Такая печалька , Анонит, 28-Сен-23, 12:18 (23)
- На фоне того, что туда майор напихал, незаметно , Аноним, 28-Сен-23, 12:33 (31) //
  - Не надо ля-ля Всё что напихнуто, напихивал лично Волож А тов майор вам в др, твой товарищ майор, 28-Сен-23, 16:13 (60)
Ахаха Мы еще Exim обсудить не успели, а тут еще одна дырень приехала , Анонин, 28-Сен-23, 11:01 (3) //
- Опять зависть что не смог написать это на безопасТном , Аноним, 28-Сен-23, 14:51 (45)
думаете гугл покупает эксплоиты и анализирует их чтобы закрывать дыры , Аноним, 28-Сен-23, 11:01 (4) //
- а почему нет у них денег как грази, Аноним, 28-Сен-23, 11:25 (6) //
  - и это хорошо - пусть платят, распространенный код хоть станет лучше, фнон, 28-Сен-23, 12:32 (30)
- Ну допустим мильён баксов За эти деньги можно до десяти человек нанять на год , Электрон, 28-Сен-23, 14:48 (44)
- Гонишь Он за деньги их и внедряет , Аноним, 28-Сен-23, 14:51 (46)
да сколько можно гугель ты что только пересобрал браузер - опять 25 о_О, Аноним, 28-Сен-23, 11:26 (7) //
- а разве ты пересобираешь не ради удовольствия от пересборки мне казалось, что эт, фнон, 28-Сен-23, 12:11 (22) //
  - Да ладно Собирают с флажками по умолчанию Просто смотрят на мельтешаший экран , коньюктивит, 28-Сен-23, 13:11 (36)
- На корке дуба пересобрал , коньюктивит, 28-Сен-23, 13:08 (35) //
  - на 4 пне же , Аноним, 28-Сен-23, 14:27 (41)
- Внимательнее надо было код смотреть перед сборкой Так бы увидел уязвимость - и , ИмяХ, 28-Сен-23, 18:06 (68)
- Ты там точно в адеквате Для фикса достаточно только libvpx пересобрать, а этого, Аноним, 28-Сен-23, 23:38 (83) //
  - Вы, видимо, сами давно браузеры не собирали Они тащат за собой кучу своих форко, вымя, 29-Сен-23, 08:26 (93) //
    - Хызы, у меня файрфокс был с системным libwebp и пофиксился апдейтом 1 либы К je, Аноним, 30-Сен-23, 02:56 (104)
судя по размеру патча - быстрее пропачтить рeшeтo чем с libwebp , Аноним, 28-Сен-23, 11:36 (9)
Только прекратили поддержку Windows 7 и 8 1, как одна за одной появляются новост, Аноним, 28-Сен-23, 11:44 (11) //
- яндекс браузер обещал тянуть - виндузятники могут себе установить , Аноним, 28-Сен-23, 11:54 (14) //
  - Не вижу большой разницы между пользованием яндекс-браузером и десяткой Лучше св, Аноним, 28-Сен-23, 12:01 (16) //
    - а они под 7ку есть , Аноним, 28-Сен-23, 12:10 (21)
      - Не интересовался, но наверняка есть или будут, как появлялись после прекращения , Аноним, 28-Сен-23, 12:40 (33)
        
        на 7ке 8ке 117 фокс уже не работает 115-esr будет до лета 2024но меня интерес, Аноним, 28-Сен-23, 14:36 (43)
        
        Нашлось в поиске про установку Chrome и Firefox на Windows 7https habr com ru , Аноним, 28-Сен-23, 16:10 (58)
        
        А как они появлялись А Никак , Аноним, 29-Сен-23, 02:35 (89)
- Всегда так было и будет , iPony129412, 28-Сен-23, 13:07 (34)
Опять сишка Опять переполнение Считаю, что нужно увольнять с волчьим билетом л, Шарп, 28-Сен-23, 11:48 (12) //
- Вот из-за такого додиезного мудачья примитивные флэшки уже выжирают десятки гига, Аноним, 28-Сен-23, 12:00 (15) //
  - то что у тебя тормозит игрушка - это твои проблемы просто купи комп мощнее и к, фнон, 28-Сен-23, 12:08 (19) //
    - Если вкладка с запущенным видео ломает твой комп, тебе стоит проверить исправнос, Аноним, 28-Сен-23, 12:20 (24)
      - ты сравниваешь видео libvpx или картинку libwebp https www opennet ru openn, фнон, 28-Сен-23, 12:30 (27)
        
        Именно, если файл декодируется, в нём может быть обнаружена уязвимость уровня AC, Аноним, 28-Сен-23, 12:37 (32)
        
        Да-да, браузер открыл сам виноват, фиксить не будем, ибо ачотакова , User, 28-Сен-23, 13:52 (37)
        
        Не открывай сайты, которым не доверяешь, не смотри рекламу, прекрати посещать по, Аноним, 28-Сен-23, 14:16 (39)
        
        Я открыл Опеннет, Аноним, 28-Сен-23, 18:57 (72)
        Да-да, и ходить в хиджабе - пардон, эт разврат - в никабе, в сопровождении специ, User, 28-Сен-23, 21:02 (77)
  - Лучше оперативки докинуть, чем иметь тыщщу дыр в системе, через которые тебя пои, Шарп, 28-Сен-23, 12:25 (25) //
    - Было бы куда Да и потом, не все же такие додики у которых 99 оперативки проста, Аноним, 28-Сен-23, 12:29 (26)
    - Жду когда индустрия упреться в техонлогические и физические пределы, тогда ты не, Научный сотрудник, 28-Сен-23, 14:22 (40)
      - Что она упрется то Комп будет размером с холодильник просто64 физических процаОп, Аноним, 29-Сен-23, 04:06 (91)
    - И сколько троянов тебе лично наставили , Аноним, 28-Сен-23, 15:26 (51)
      - Столько, что и колено Вениаминово тоже плачет, что мы их не вырезали я не знаю, Аноним, 29-Сен-23, 18:17 (100)
        
        Вырезать кого собрались - битКоинов с Леви_а_фанами , Аноним, 29-Сен-23, 18:45 (101)
  - Хаха, вы бы лучше быдлокодить без ошибок на дыряшке научились 40 лет уже прошло, Анонимусс, 28-Сен-23, 15:24 (50) //
    - Ни у кого не было проблем с флэшками ну немного жестковатые ограничения на само, Аноним, 28-Сен-23, 17:20 (67)
    - И орпоративные шерпы завалили мир кодеками или нет А, погодите, этот крап , Аноним, 30-Сен-23, 03:17 (107)
  - Что это такое вообще Я ваш птичий язык не понимаю В целом, объём занятой ОЗУ на , Аноньимъ, 29-Сен-23, 11:01 (94) //
    - Das ist ein du problem , Аноним, 29-Сен-23, 13:13 (99)
- Тут бекдор, подписанный приветябекдор , commiethebeastie, 28-Сен-23, 12:06 (18)
- Увольнять откуда, с Гитхаба Как увольнять разработчика личного проекта , Аноним, 28-Сен-23, 12:32 (29)
- Опять зависть что сишники могут написать продукт, а растовики нет , Аноним, 28-Сен-23, 14:54 (47) //
  - Написать сишники могут, нормально написать 8212 нет , Аноним, 28-Сен-23, 17:09 (66) //
    - Ну так остальные и так не смогли Ну вон есть librav1e - и чего-то он даром нико, Аноним, 28-Сен-23, 23:43 (86)
- Не пользуйся сишным софтом и либами, какие проблемы , Аноним, 28-Сен-23, 23:41 (85)
Это ещё что Скоро подвезут дыры из libhelloworld , InuYasha, 28-Сен-23, 11:51 (13) //
- Не, ну helloworld уж точно можно без дыр написать Хотя там же printf , Анонимусс, 28-Сен-23, 12:31 (28)
Правильно, не надо TODO в продакшене закрывать , commiethebeastie, 28-Сен-23, 12:04 (17)
Надо было писать на безопасном языке, например, на хаскелле , Аноним, 28-Сен-23, 15:18 (49) //
- Ты чё На хаскеле же всякие монады, функторы и прочая комбинаторикаЭто же для ак, Анонимм, 28-Сен-23, 16:40 (63) //
  - Тогда надо самокаты запретить - пешком хоть и медленнее, зато безопаснее А если, ИмяХ, 28-Сен-23, 18:11 (69) //
    - Автомобили тоже Вы вообще видели, сколько ежемесячно происходит автоаварий , C00l_ni66a, 28-Сен-23, 18:49 (71)
    - хаха, вот например в Париже их нафиг запретили потому что бухие, правил не знают, фнон, 28-Сен-23, 18:59 (73)
      - https gist github com Earnestly 7c903f481ff9d29a3dd1 как мне нравятся такие , dasd, 28-Сен-23, 21:49 (81)
        
        Да ты просто гений Нужно всего-лишь проверять входные данные Вот только в с, Анонин, 28-Сен-23, 23:26 (82)
        
        Эээ ооо ааа уууНу да, в безопасТных языках либо тоже делать проверку, либо вполн, dasd, 02-Окт-23, 10:28 (114)
  - так что взяв чужой проект ты полгодика будешь этот брейнфак осмыслять, что им, Аноним, 28-Сен-23, 23:47 (87) //
    - о боже, у нас тут очередной адепт тяп-ляп и продакшен ладно если ты пишешь код д, фнон, 29-Сен-23, 00:00 (88)
      - Ну ты в своем праве писать кодек на этом брейнфаке Посмотрим много ли ты напише, Аноним, 30-Сен-23, 03:01 (105)
    - Лолчто Какой нафиг Хаскель брейнфак В нём стандартно всё в принципе А чужой пр, Аноньимъ, 29-Сен-23, 11:09 (95)
      - Ну вот такой Стандартное состояние проектов на хаскеле - 1 кодер, изначальный а, Аноним, 30-Сен-23, 03:06 (106)
        
        Да, Хаскель программистов примерно в тысячу, если не больше, раз меньше сишников, Аноньимъ, 30-Сен-23, 11:47 (109)
        
        И к тому есть предпосылки очередной академязычок не от мира сего Чем круче абст, Аноним, 30-Сен-23, 13:45 (111)
        
        Крутые абстракции упрощают вещи, а не усложняют Вы наверное гуишные приложения п, Аноньимъ, 30-Сен-23, 14:54 (112)
        
        Я видел что может получиться, спасибо Потом никто въезжать в это не может или н, Аноним, 02-Окт-23, 06:45 (113)
        
        В каком этом проекте Вы же хаскеля не знаете, откуда вам знать брейнфарт там или, Аноньимъ, 02-Окт-23, 10:35 (115)
        
        Да в какой ни ткни - будет зубодробильный контринтуитивный код Для меня это жир, Аноним, 02-Окт-23, 12:05 (116)
        
        Нет конечно, но если вы не знаете Хаскеля, как вы можете делать выводы о крутост, Аноньимъ, 02-Окт-23, 13:12 (117)
        Нет у сишки никакой портабельности Типы инта могут быть какие угодно между плат, Аноньимъ, 02-Окт-23, 13:15 (118)
        Лямбды - концепт которому лет 50 минимум ВСЕ программисты буквально и не только, Аноньимъ, 02-Окт-23, 13:24 (119)
Добавьте в новость, что XnView тоже использует WebP, Kuromi, 28-Сен-23, 15:43 (52) //
- а сайт opennet ru, Аноним, 28-Сен-23, 15:55 (53) //
  - а по опросу у почти 20 процентов мак или винда , аннонникусь, 28-Сен-23, 19:05 (74) //
    - а остальные 80 научились в конце-концов подделывать user-agent, год линукса на десктопе, 28-Сен-23, 21:16 (79)
- WebP или libwebp , InuYasha, 28-Сен-23, 16:11 (59) //
  - Там libwebp чтобы читать WebP Автору правда уже стукнули чтобы он обновил, но п, Kuromi, 29-Сен-23, 03:02 (90) //
    - Достойная судьба для пожирателей проприетари , Аноним, 30-Сен-23, 03:23 (108)
Если в каком-то инструменте человека заставлять за чем-то следить, то он 100 в , Аноним, 29-Сен-23, 06:22 (92)
Если что, то вот нормальная новость с подробностями и объяснениями https snyk, Аноним, 29-Сен-23, 12:19 (96) //
- И какие же там подробности кроме рекламы проприетарного сервиса Snyk Плюс та ст, Аноним, 29-Сен-23, 12:29 (97)
- И там про древнюю уязвимость в libwebp, а не про обсуждаемую уязвимость в libvpx, Аноним, 29-Сен-23, 12:31 (98)
Я что-то не понимаю или libwebp в телеге под андроид до сих пор не пофиксили htt, Аноним, 30-Сен-23, 01:59 (102)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру