В популярных открытых мультимедийных проигрывателях и медиацентрах, включая VLC, Kodi (XBMC), Popcorn-Time и strem.io, выявлена (http://blog.checkpoint.com/2017/05/23/hacked-in-translation/) уязвимость, позволяющая получить контроль за окружением пользователя при обработке специально оформленных субтитров. Проблема устранена в сегодняшнем выпуске Kodi 17.2 (https://kodi.tv/article/kodi-v172-minor-bug-fix-and-security...), Popcorn-Time 0.3.10 (https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249/), strem.io 3.6.5 (https://www.strem.io/) и частично устранена в VLC 2.5.1 (полное исправление ожидается (http://www.videolan.org/security/) в версии 2.2.6). До установки обновления с устранением проблемы пользователям рекомендуется воздержаться от загрузки непроверенных субтитров из публичных сервисов, таких как OpenSubtitles.org.Технические детали о методе атаки не публикуются, чтобы дать пользователям время на обновление, но судя по принятому в Kodi 17.2 патчу (https://github.com/xbmc/xbmc/pull/12023/commits/c659486bc66d...), проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрами. Атакующий может подготовить специально оформленный zip-архив, при распаковке которого может быть переписан любой файл в системе в рамках прав доступа текущего процесса с медиаплеером. Кроме того, в Popcorn-Time, судя по всему (https://github.com/popcorn-official/popcorn-desktop/commit/a...), устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода в состав субтитров в формате SRT.
URL: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/
Новость: https://www.opennet.ru/opennews/art.shtml?num=46590
> устранена другая уязвимость, связанная с возможностью подстановки JavaScript-кода в состав субтитров в формате SRTКуда катится этот мир?
Мир делает вид, что пытается из неё выбраться, но скатывается, естественно, обратно :).
> strem.ioХоть кто-то дал своему JS-проекту правдивое название.
Ура, местные эксперты подъехали
Да и веб-макаки подоспели, я смотрю.
Ты продолжай, мнение человека, который думает что js есть только в вебе очень значимо)
Если гoвно не только течет по предназначенным для этого трубам, но еще и затапливает весь город - это совсем не значит, что гoвно перестало быть гoвном.
хеллоуворлдщики превращают ресурс в пикабу
Продолжай распространять своё ни на чем не основанное мнение) А мы, адекватные люди, продожим пользоваться этим одним из лучших на сегодняшний день ЯП.
Вот видишь? Js делает людей счастливыми, и все довольны)
> Вот видишь? Js делает людей счастливыми, и все довольны)(.. медленно затянулся.. и передал следующему)
Забей, местные дилетанты свято ненавидят все, что не могут осилить.
Давай я резюмирую твою мысль:Весь JIT и GC — ЖАБА.
Си — выстрелвноговый, Rust — закорючки. Место Баша рядом с Фортраном — в музее.
Плюсовые функции не могут возвращать массив? — Язык-инвалид.
"Все языки программирования априори ненормальны."
У вэб-макаки полыхнуло?
Судя по здешнему диалогу горит в основном у вас. Вполне очевидно, что не будь вы такими нытиками - он бы даже и не состоялся)
> горит в основном у васНу вообще-то, вы правы. У юзеров, которым надо работать, уже горит от всяких клиентов мессенджеров, написаных на опупительном жеесе, всяких веб приложениях, которые грузятся дольше и жрут больше операционки. Почему-то на тот же навороченый КДЕ, который блестит, свистит, светится, но помимо этого умеет и кучу полезного, который жрёт 500 метров оперативки - сразу катят бочку "обожимой он зохавал 3% моей оперативки и 5% моего процессора". А как какой-нибудь сайтик на очередном уберангуляре с тормозящей даже на суперкомпьютере анимацией и жрущий в одну вкладку 300 метров - так сразу "смотрите какой офигенный фреймворк и что на нём можно запилить, айда все свои сайты так же делать". Так что я бы советовал вебмакакам - утихните и радуйтесь, что настоящие тру кодеры ещё пытаются делать оптимизацию для вашего уныния в своих браузерных движках. А то ведь терпение не резиновое и они могут вам сказать самые страшные слова в вашей жизни - "научись программировать, обезьяна".
У сайтов проблемы не от js-а, а от обвязки html+css.
Если сравнить с qml+js 0 вы удивитесь разнице. Да, кривая поделка КДЕ тормозит жутко, но это лишь проблема КДЕ. Если посмотреть на другие аппы с применением qml+js - работают они крайне быстро. Нода используется для хайлоада. В гноме куча js-а, при этом он шустрее любой другой оболочки.
Продолжая мысль - у js хейтеров проблемы от недостатка знаний.
И да, js будет посерьёзнее в плане возможностей и полноценного освоения почти любого другого современного ЯП. А уж если учесть их повальную синхронность - так это вообще отсталое уныние.
Учите матчасть, не позорьте своё имя) Удачи)
>>проблема вызвана отсутствием экранирования символов ".." в файловых путях zip-архива с субтитрамиПроблема стара как мир и известна всем, но её регулярно находят то тут, то там. :(
Вопрос, дыра-ли это?
Люди - странные создания. Сколько не заставляй их лазить в квартиру через форточку в окне на третьем этаже, они всё норовят воспользоваться лифтом и дверью.Такая архитектура у нашего дома, что через дверь небезопасно, а безопасно через форточку на третьем этаже. И нет, перестраивать дом из-за чьего-то нежелания лазить в форточку мы не будем!
Ошибка в libass что ли? Она не только в VLC, но и в ffmpeg используется, который... используется в Firefox. Да тут вся система под угрозой!
Ванга в треде? Судя по патчу, libass тут никаким боком.
Да какая там "ванга"... Простоу этого пациента все мысли про ass.
Слава mpv. Остальные должны страдать
А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?
> А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?Её там и нет. Это кривой плеер на жабоскрипте.
> А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?ты на патч погляди!
https://github.com/popcorn-official/popcorn-desktop/commit/a...
там поддержка НЕ яваскрипта в сабах -- а поддержка возможности делать XSS-атаки через сабы :-)
> А, собственно, ЗАЧЕМ поддержка жабоскрипта в сабах?Чтобы можно было делать сабы бегущей строкой. Или эффекты, когда буковки с разных сторон летят и собираются в слова, а потом рассыпаются на части.
Вся суть веб-макак - главное чтоб красивенько и с анимациями, а на остальное - плевать
У субтитров несколько форматов. SRT без анимации, цветных субтитров и пр. SSA/ASS с анимацией, цветными субтитрами и пр. Форматы совместимы, поэтому в большинстве случаев используется один алгоритм для их обработки.Цветные субтитры с анимацией нужны для караоке.
Цветные субтитры нужны в диалогах с несколькими участниками, чтобы у каждого участника был свой цвет. Не нужно забывать, что субтитры придумали для слабослышащих и лишь после адаптировали для просмотра фильмов/программ на иностранном языке.
Цветные субтитры с фоном позволяют заменить даже надписи в кадре (на знаках, письмах, газетах и пр.)
Итог: цветные субтитры и анимация нужны и являются частью формата.
> Вся суть веб-макак - главное чтоб красивенько и с анимациями, а на остальное - плевать
Судя по написанному, претензия к разработчикам формата. Судя по тону, к программистам. Определись наконец против кого сегодня дружишь.
Программисты допустили ошибку. Их ошибка вызвана кривой архитектурой и необходимостью выполнять ритуальные действия. Аналогичная проблема есть в php, где нужно не забывать экранировать параметры при передаче в запросы и выводе на экран. И в php это тоже одна из самых частых ошибок. Есть ошибки синтаксические, есть семантические, эта - архитектурная.
2.71б жеж твою мать!
Я даже представить не могу, насколько изощренный *****код в этих плеерах, что текстовый файл с текстом (субтитры) может превращаться в исполняемый JS или как-то проводить что-то в духе sql инъекции ...
> Я даже представить не могу, насколько изощренный *****код в этих плеерахДа никакой он не "изощренный". Обычно "код" от обычной вэб-макакаки. Они другого не делают.
Посоны, я не понял: если я с помощью Popcorn Time смотрю видео не во встроенном плеере, а в SMplayer, меня не затрагивает проблема?
Да, не затрагивает. Но это ещё не значит, что в Smplayer нет дыр :-)
Smplayer - "божественен", все остальное - "от лукавого".
mpv -_-
О, я лет 15 назад тоже написал специализированный ftp-сервер с такой дыркой и меня похакали. :)
А почему так пугают субтитры и дыра в них. И не пугает что некоторые популярные дистрибутивы с Kodi на борту, где Kodi работает от рута
Это какие? Самый популярный пример можно?
И страшно все же. Захотел мультфильмы лошадками посмотреть, а у тебя биткойн кошелек увели.
А то еще хуже, твой плеер вместо показа лошадок заставили манйить на дядю, а тебе квадратики показывать. :)
А Малевичу надо было запатентовать квадрат-то.
В vlc нету remote code execution в этой проблеме, это вранье.