The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект VideoLAN отметил десятилетие критической уязвимостью

01.02.2011 22:37

Проект VideoLAN празднует десятилетие своего существования как свободного проекта. 1 февраля 2001 года все ранее разработанные приложения VideoLAN были открыты под лицензией GPL. Первый из проектов VideoLAN основан в 1996 году и являлся студенческой работой, направленной на обеспечение передачи видео по низкоскоростной локальной сети университетского кампуса. Два года спустя проект был полностью переписан, в результате чего был рожден медиаплеер VLC. Так как проект был студенческий, все права на него формально принадлежали университету, но благодаря поддержке нескольких профессоров в 2001 году удалось получить официальное разрешение на смену лицензии на GPL.

К сожалению, праздник был омрачен обнаружением в коде медиаплеера VLC неприятной уязвимости, по неприятному стечению обстоятельств найденную в сочетании с невозможностью выпустить исправляющий ее релиз из-за блокирования публикации новых выпусков, в связи со взломом хостинга SourceForge.net. Уязвимость найдена в коде демуксера популярных медиа-контейнеров MKV (Matroska) и WebM. Из-за отсутствия должных проверок содержимого макроса "MKV_IS_ID", при открытии специально оформленного MKV-файла на машине пользователя может быть запущен код злоумышленника. Исправление ожидается в релизе VLC 1.1.7, который выйдет сразу после нормализации работы SourceForge.net. Патч можно загрузить здесь.

  1. Главная ссылка к новости (http://www.videolan.org/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/29458-vlc
Ключевые слова: vlc, videolan, secruity
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, NGAGE13 (ok), 22:57, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Поздравляем VideoLan!!
    в ubuntu natty обновление 1.1.7 сегодня уже пришло!
     
  • 1.2, Аноним (-), 23:05, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость ещё омрачена и этим:
    VLC 1.1.7 blacklists the KDE GUI platform for Qt
    http://mailman.videolan.org/pipermail/vlc-devel/2011-January/078770.html
     
     
  • 2.3, анон (?), 23:15, 01/02/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Новость ещё омрачена и этим:
    > VLC 1.1.7 blacklists the KDE GUI platform for Qt
    > http://mailman.videolan.org/pipermail/vlc-devel/2011-January/078770.html

    кде такое кде(

     
     
  • 3.5, Аноним (-), 23:28, 01/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    проблема в куте, а не в кде
     
     
  • 4.18, anonymous (??), 11:24, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > проблема в куте, а не в кде

    а почему у меня без кде работает? проблема в кде.

     
     
  • 5.19, Аноним (-), 19:54, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что не используется KDE GUI, в котором возникла проблемма из-за куте.
     
     
  • 6.20, anonymous (??), 19:59, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому, что не используется KDE GUI, в котором возникла проблемма из-за куте.

    а я что сказал? проблема в KDE.

     
     
  • 7.23, Аноним (-), 22:09, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Но виновник проблемы - куте.
     
     
  • 8.24, anonymous (??), 02:47, 03/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    поскольку без KDE всё работает, то виновник 8212 KDE собственно, KDE и есть ... текст свёрнут, показать
     

  • 1.4, paulus (ok), 23:22, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поздравляю пользователей VLC! Но у меня он жутко выглядит во fluxbox и кушает в три раз больше чем mplayer даже в связке с gnome-mplayer.
     
  • 1.6, анонимм (?), 23:36, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ухахах.
    Автор заголовка порадовал.

    > в сочетании с невозможностью выпустить исправляющий ее релиз

    А в ночнушках разве уязвимость не закрыта?

     
  • 1.7, Аноним (-), 23:57, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    подскажите, как может быть выполнен код злоумышленника? технически как это выглядит? ведь vlc же не выполняет видеопоток, а читает и только.
     
     
  • 2.8, буфер (?), 00:16, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > подскажите, как может быть выполнен код злоумышленника?

    переполнение, передача управления

    > vlc же не выполняет видеопоток, а читает и только

    iexplorer, например, тоже "всего лишь читает html"

     
     
  • 3.9, Аноним (-), 00:34, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > переполнение, передача управления

    подробнее, плиз. буфер заполняется, переполняется, как после этого переходит передача управления к данным в mkv?

     
     
  • 4.10, Гентушник (ok), 00:42, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    http://www.google.ru/search?q=buffer+overflow
     
  • 4.11, Аноним (-), 00:47, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > подробнее, плиз. буфер заполняется, переполняется, как после этого переходит передача
    > управления к данным в mkv?

    https://www.opennet.ru/base/sec/remote_exploit.txt.html
    https://www.opennet.ru/base/sec/heap_overflow.txt.html

     

  • 1.13, stirn (?), 01:10, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поздравляю! Прям в один день с MSK-IX. У них сегодня тоже десятилетие.
     
  • 1.14, yantux (??), 01:29, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я знаю зачем ломанули sf!
     
     
  • 2.15, Аноним (-), 08:38, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Я знаю зачем ломанули sf!

    поправить? =)

     
  • 2.17, Аноним (-), 10:20, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/74368.html#2
     

  • 1.16, Vitaliy (??), 09:22, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Исправление ожидается в релизе VLC 1.1.7, который выйдет сразу после нормализации работы SourceForge.net. Патч можно загрузить здесь.

    Новая версия лежит на http://download.videolan.org/pub/videolan/vlc/1.1.7/ ещё с 31 января.

     
  • 1.21, User294 (ok), 20:17, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Заголовок новости жжот напалмом! Но все-таки: троллить прямо в заголовке - это слегка перебор, никому так не кажется? :)
     
     
  • 2.22, anonymous (??), 20:21, 02/02/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Заголовок новости жжот напалмом! Но все-таки: троллить прямо в заголовке — это
    > слегка перебор, никому так не кажется? :)

    ни разу, годный заголовок. прямо рядом с «маршрутизаторами Solaris».

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру