Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Конфликт между Secunia и VideoLAN, связанный с устранением у..., opennews (??), 10-Июл-13, (0) [смотреть все] Зря они так Звезду, что ли, поймали , Аноним (-), 11:13 , 10-Июл-13, (1) +16 // А теперь они поймали звиздюли от секурити-исследователей, которые не любят раздо, Аноним (-), 15:04 , 10-Июл-13, (32) +7 // пользователь выбирает vlc, а не безопасность, и это нормально то есть я лично н, Алексей (??), 00:49 , 11-Июл-13, (59) –12 // только для безмозглых даунов , arisu (ok), 02:27 , 11-Июл-13, (66) +2 с чего это вдруг я им музыку слушаю, софт с задачей справляется в общем-то я ещ, Алексей (??), 04:17 , 11-Июл-13, (69) –3 не 171 vlc для безмозглых даунов 187 , а 171 только безмозглые дауны плюют , arisu (ok), 07:04 , 11-Июл-13, (75) +2 Атож http www opennet ru opennews art shtml num 36943, Аноним (-), 09:42 , 11-Июл-13, (79) +2 В том и дело, что secunia - сайт _специалистов_ по безопасности , XoRe (ok), 14:19 , 17-Июл-13, (113) Скачал я их файлик mkv, попробовал его просмотреть, KPlayer пишет ошибка Друг, Аноним (-), 22:05 , 11-Июл-13, (99) –2 А чо такую мякотку то опустили , Аноним (-), 11:15 , 10-Июл-13, (2) А тем временем в FFMPEG тихо и без возгласов появилась поддержка OpenCL, Аноним (-), 11:16 , 10-Июл-13, (4) +6 // Насколько я знаю - только экспериментально в фильтрах Лично мне функциональность, gkv311 (ok), 11:37 , 10-Июл-13, (6) –3 // Первая ласточка А тем временемм в амдшных открытых драйверах opencl тоже понемн, Аноним (-), 15:05 , 10-Июл-13, (33) Шо, неужто VLC тоже школьники разрабатывают , noize (ok), 11:36 , 10-Июл-13, (5) // А что по нему не видно , Хрен с горы (?), 11:51 , 10-Июл-13, (7) // Первая ветка еще ничего была А вот со второй все стало понятно , Аноним (-), 14:10 , 10-Июл-13, (23) +1 Конечно VLC пишут школьники и аналитики Настоящие же созидатели на опёнке в камм, robux (ok), 12:43 , 10-Июл-13, (11) –4 // Оборванцы и там и там Голодные злые оборванцы , Аноняша (?), 14:12 , 10-Июл-13, (24) +4 // Ладно хоть в микрософте и АНБ сытые, добрые и порядочные люди работают , robux (ok), 20:12 , 10-Июл-13, (53) Ты видел как они ssa ass субтитры с эффектами рисуют на видео, непропорционально, Lain_13 (ok), 19:04 , 10-Июл-13, (47) студенты которые немногим лучше , arisu (ok), 19:09 , 10-Июл-13, (49) +1 // Ты так говоришь, как будто 95 обладателей дипломов кодят лучше скубентов Если ч, Аноним (-), 00:57 , 11-Июл-13, (60) // нет, я так не говорю именно поэтому после 171 студенты 187 я добавил характ, arisu (ok), 02:22 , 11-Июл-13, (64) +1 Прекрасная характеристика Что интересно, выделение голосом конкретного слова ме, freehck (ok), 10:42 , 15-Июл-13, (111) всё ясно в вами ребята вашего плеера не будет у меня на компьютере хотя ведь и, Xasd (ok), 12:09 , 10-Июл-13, (8) +5 // от горэ , Нанобот (?), 13:43 , 10-Июл-13, (18) +8 Раньше юзал VLC, годный плеер, универсальный от айпирадио до твтюнера Мущай муж, robux (ok), 12:40 , 10-Июл-13, (10) –4 а какую именно представляет угрозу для пользователей файл, который крэшит прилож, thresh (??), 12:47 , 10-Июл-13, (14) –2 // Крэшит приложение он за счет того, что перезаписывает область памяти, в которой , Аноним (-), 14:13 , 10-Июл-13, (25) +1 // Перезаписывает ли Вы бэктрейс видели , thresh (??), 11:54 , 11-Июл-13, (84) –3 // Да , Аноним (-), 22:07 , 11-Июл-13, (100) Там где крэш, там зачастую и выполнение кода, если повезет Зависит от того что , Аноним (-), 15:09 , 10-Июл-13, (34) +2   // вообще-то любой баг лучше починить подход 171 ну да, падает и что баг некри, arisu (ok), 19:11 , 10-Июл-13, (50)   // Так ведь его и починили, вот только secunia достаточно, ээ, туповаты, чтобы это , thresh (??), 11:44 , 11-Июл-13, (81) –5   я, в данном случае, после поверхностного чтения не понял, кто на ком сидел авто, arisu (ok), 21:23 , 11-Июл-13, (95)   это локальное выполнение кода с правами пользователя, который открывает файл п, Алексей (??), 01:11 , 11-Июл-13, (61)   // как будто этого мало э кто это там позволяет выполнять произвольный код O_Oмож, arisu (ok), 02:30 , 11-Июл-13, (67) +3   это не мало или много, это просто достаточно для извлечения выгоды т е для ма, Алексей (??), 06:20 , 11-Июл-13, (73) –1   это, всё-таки, не произвольный код с доступом к произвольному API можно смело ра, arisu (ok), 07:11 , 11-Июл-13, (77) +1   файлов, от которых проигрыватели коры дампят - навалом mplayer у меня за Х лет , медведдд (ok), 06:03 , 11-Июл-13, (72) +1   дык зачем они вам убедиться что у вас он тоже не бессмертный так это я не буду , Алексей (??), 06:58 , 11-Июл-13, (74) –1   Не аргумент Может вы им 2 файла за X лет проигрывали Реально же почти любой , Аноним (-), 13:10 , 11-Июл-13, (85)   Вы так говорите, как будто потеря пользовательских данных менее страшна, чем сис, freehck (ok), 10:52 , 15-Июл-13, (112)   Раз они такие спецы в этой секунии, взяли бы и пофиксили, это же опенсорс, нет,, Аноним (-), 13:16 , 10-Июл-13, (15) –1 // Это их бизнес Авось кто-то закажет у них исследование безопасности , Аноним (-), 13:40 , 10-Июл-13, (16) –1 // Дык заказывают, и очень многие , Аноним (-), 14:09 , 10-Июл-13, (22) +1 Помоему пиар Мы нашли ошибку и исправили много лучше, чем мы нашли ошибку и о, Аноним (-), 15:14 , 10-Июл-13, (35) –1 // Орут они потому, что разработчики VLC не заинтересованы в исправлении ошибок , Аноним (-), 16:06 , 10-Июл-13, (39) +1 Это не правда , thresh (??), 11:46 , 11-Июл-13, (82) –3 Как бы они пофиксили Форкнули VLC , Аноним (-), 13:44 , 10-Июл-13, (19) +2 // man patch, Аноним (-), 14:39 , 10-Июл-13, (26) // В апстриме VLC в таких патчах не заинтересованы , Аноним (-), 14:41 , 10-Июл-13, (27) +1 Да ну Лень править и принципиально не принимаем - разные вещи , Аноним (-), 14:54 , 10-Июл-13, (30) –1 Обычно принять сложнее, чем поправить самому , Аноним (-), 16:07 , 10-Июл-13, (40) +1 Почему , souryogurt (ok), 18:38 , 10-Июл-13, (45) –1 В обоих случаях нужно понять проблему и способ её решения, но в случае чужого ко, Lain_13 (ok), 19:12 , 10-Июл-13, (51) +3 А вы уверены, что тот человек, которы писал проблемыый код, щас вообще уделяет , Аноним (-), 02:22 , 11-Июл-13, (65) Чей код был сначала не суть важно Когда сам исправляешь сам же и понимаешь что , Lain_13 (ok), 03:26 , 11-Июл-13, (68) Ну ей богу принятие патча этож не единовременная процедура Если код непонятен , souryogurt (ok), 21:28 , 11-Июл-13, (97) –1 Всё это хорошо и удобно при добавлении новой функциональности в приложение или о, Lain_13 (ok), 21:59 , 11-Июл-13, (98) +1 Разве к прилагающемуся патчу, обычно не добавляют описание того, в чем заключает, souryogurt (ok), 21:12 , 11-Июл-13, (93) –1 это только кажется а на деле 8212 всё равно надо разобраться, откуда именно , arisu (ok), 21:26 , 11-Июл-13, (96) +1 Потому что прочитать и _понять_ чужой код обычно сложнее, чем придумать и написа, Аноним (-), 00:46 , 11-Июл-13, (57) Большинство нормальных программистов, присылающих вам исправления, будут придерж, souryogurt (ok), 21:16 , 11-Июл-13, (94) –1 Вопрос был о процедуре исправления, а не о процедуре выделения разницы man diff, Michael Shigorin (ok), 23:34 , 10-Июл-13, (56) –1 Знаешь, для начала нужно найти на какой участок кода мапится бинарный код, котор, Lain_13 (ok), 19:09 , 10-Июл-13, (48) // это не та сфера, где приложение сложно скрашить там одних либ линкуется стольк, Алексей (??), 01:18 , 11-Июл-13, (62) –1 // Скрашить в принципе может любой дурак с некоторым опытом фаззинга Было бы желан, Lain_13 (ok), 01:44 , 11-Июл-13, (63) +1 вот если бы они нашли способ поиметь пользователя без его участия - было бы инте, Алексей (??), 05:08 , 11-Июл-13, (70) –1 Вообще-то если ты не забыл эксплоит найден в коде обработки видео-контейнера Фа, Lain_13 (ok), 07:04 , 11-Июл-13, (76) +1 Ну как бы открыл мувик - тыдыщ Поимели Участие, конечно, требуется, но - миним, Аноним (-), 13:13 , 11-Июл-13, (86) +1 Прямо как разработчики Debian Подумаешь, локальный рут , Аноним (-), 13:45 , 10-Июл-13, (20) +2 // Бредишь , Аноним (-), 15:23 , 10-Июл-13, (36) То есть подвержена только бинарная сборка с офсайта В дистрибутивах своя линков, Аноним (-), 14:49 , 10-Июл-13, (28) // А ты думаешь, что все эти страсти - вокруг линуксовой версии , Аноним (-), 17:39 , 10-Июл-13, (44) +1 В openSUSE нет такой версии, интересно чего бы это значило Серверам из top500 V, Аноним_тот_же (?), 15:34 , 10-Июл-13, (37) –1 // да просто нумерация не соответствует апстриму, бывает, Алексей (??), 05:14 , 11-Июл-13, (71) –1 Напоминает анекдот про хакера и солонку , Аноним (-), 19:18 , 10-Июл-13, (52) // Который из , Аноним (-), 00:46 , 11-Июл-13, (58) Проблема только в том что качнули вы где-то замечательный клип а оказывается х, Аноним (-), 13:14 , 11-Июл-13, (87) +1 Печально Вместо того, что-бы отмазки придумывать, лучше бы разработчики VLC поф, lucentcode (ok), 20:26 , 10-Июл-13, (54) –1 // эти т н уязвимости исправлены, не стоит верить т н секьюрити фирмам типа s, thresh (??), 11:49 , 11-Июл-13, (83) –3 // Вообще-то secunia достаточно неплохо в своем ремесле шарит и за годы работы они , Аноним (-), 13:15 , 11-Июл-13, (88) // Есть и другия мнения на этот счет , thresh (??), 13:35 , 11-Июл-13, (89) –3 Костик, лучше всё-таки избегать чрезмерных обобщений -- насколько понимаю хотя , Michael Shigorin (ok), 14:01 , 11-Июл-13, (90) –1 Secunia последовательно в течение нескольких месяцев подтверждает свою некомпете, thresh (??), 15:27 , 11-Июл-13, (92) –1 Да, судя по блогу Жана Батиста, Секуниа еще и задним числом меняла свои advisori, Евгений (??), 23:17 , 11-Июл-13, (105) –1 Мнения фанатов vlc не в счет , Аноним (-), 22:10 , 11-Июл-13, (103) +1 Фанатам ляпнуть-что-нибудь thresh -- один из разработчиков VLC , Michael Shigorin (ok), 18:50 , 12-Июл-13, (108) Ну так и описал бы внятно ситуацию, Crazy Alex (ok), 02:16 , 13-Июл-13, (109) зачем дискутировать с теми, кто этого не понял , arisu (ok), 03:56 , 13-Июл-13, (110) +1 vlc я в своей жизнм видел только у виндусоидов На божественном жму линуксе пол, Аноним (-), 11:25 , 11-Июл-13, (80) // Удобнейший mplayer также замечательно работает на Виндоусе Вместе с vlc они на, Евгений (??), 23:29 , 11-Июл-13, (106) –2 Чего фыркать, ну исправили и забыли Я так понимаю кроме уязвимости они и патчи , zburguy (ok), 15:22 , 11-Июл-13, (91) –1 // Дык разработчики VLC не хотят исправлять , Аноним (-), 22:11 , 11-Июл-13, (104) +1 // Все они исправили, читайте ссылки СЫкуния просто сама не знает, что хочет , Евгений (??), 23:31 , 11-Июл-13, (107) –1 1,2,4,5,8,10,14,15,20,28,37,52,54,80,91

Сообщения

[Сортировка по времени | RSS]

	34. "Конфликт между Secunia и VideoLAN, связанный с устранением у..."	+2 +/–
	Сообщение от Аноним (-), 10-Июл-13, 15:09
	> а какую именно представляет угрозу для пользователей файл, который крэшит приложение? Там где крэш, там зачастую и выполнение кода, если повезет. Зависит от того что именно программа при этом делает, конечно, и насколько там в системе все обложено stack-protector, fortify source и прочими ASLR. Однако в целом потенциал имеется и недооценивать крахи - глупо. Для разработчиков лучше всего считать что если программа падает - это критичная проблема и чинить ее ASAP. Это наиболее безопасный и ответственный вариант.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	50. "Конфликт между Secunia и VideoLAN, связанный с..."	+/–
	Сообщение от arisu (ok), 10-Июл-13, 19:11
	вообще-то любой баг лучше починить. подход «ну да, падает. и что? баг некритичный, нам лень его чинить. и вообще, это не наш баг, это чужой баг!» — весьма… странный, если мягко выражаться. впрочем, это же vlc. родился как корявая студподелка и развивается так же.
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Конфликт между Secunia и VideoLAN, связанный с..."	–5 +/–
	Сообщение от thresh (??), 11-Июл-13, 11:44
	> вообще-то любой баг лучше починить. подход «ну да, падает. и что? баг > некритичный, нам лень его чинить. и вообще, это не наш баг, > это чужой баг!» — весьма… странный, если мягко выражаться. Так ведь его и починили, вот только secunia достаточно, ээ, туповаты, чтобы это увидеть.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Конфликт между Secunia и VideoLAN, связанный с..."	+/–
	Сообщение от arisu (ok), 11-Июл-13, 21:23
	> Так ведь его и починили, вот только secunia достаточно, ээ, туповаты, чтобы > это увидеть. я, в данном случае, после поверхностного чтения не понял, кто на ком сидел. автор говорит одно, секуния другое — надо самому шариться по исходникам. а лень.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Конфликт между Secunia и VideoLAN, связанный с устранением у..."	+/–
	Сообщение от Алексей (??), 11-Июл-13, 01:11
	>> а какую именно представляет угрозу для пользователей файл, который крэшит приложение? > Там где крэш, там зачастую и выполнение кода, если повезет. Зависит от > того что именно программа при этом делает, конечно, и насколько там > в системе все обложено stack-protector, fortify source и прочими ASLR. Однако > в целом потенциал имеется и недооценивать крахи - глупо. Для разработчиков > лучше всего считать что если программа падает - это критичная проблема > и чинить ее ASAP. Это наиболее безопасный и ответственный вариант. это локальное выполнение кода. с правами пользователя, который открывает файл. причем среди поддерживаемых форматов часть это позволяет в штатном режиме. падать конечно не надо, бага есть бага. но это просто бага, их искать даже не надо - файлов, от которых проигрыватели коры дампят - навалом, и без происков хакеров )
	Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

	67. "Конфликт между Secunia и VideoLAN, связанный с..."	+3 +/–
	Сообщение от arisu (ok), 11-Июл-13, 02:30
	> это локальное выполнение кода. с правами пользователя, который открывает файл. как будто этого мало. > причем среди поддерживаемых форматов часть это позволяет в штатном режиме. э? кто это там позволяет выполнять произвольный код? O_O > файлов, от которых проигрыватели коры дампят > — навалом, и без происков хакеров ) можно мне хотя бы десяток? чтобы mplayer2 упал. чёрт, это же офигенно: навалом файлов, которые крашат плеер, и никто баги не чинит! да я же прославлюсь, понаприсылав сотни патчей!
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Конфликт между Secunia и VideoLAN, связанный с..."	–1 +/–
	Сообщение от Алексей (??), 11-Июл-13, 06:20
	> как будто этого мало. это не мало или много, это просто достаточно для извлечения выгоды (т. е. для массовой эксплуатации). > э? кто это там позволяет выполнять произвольный код? O_O я не знаю деталей их виндовой кухни, но как-то с asf умудряются вообще кодеки из сети качать, во флеше скрипты поддерживаются, да даже в dvd в меню какую-то логику закладывают (не уверен насчет тьюринг-полноты, но похоже есть). это для локальных файлов разве ограничивают специально? > можно мне хотя бы десяток? чтобы mplayer2 упал. чёрт, это же офигенно: навалом файлов, которые крашат плеер, и никто баги не чинит! да я же прославлюсь, понаприсылав сотни патчей! давайте попробуем, только в розницу - по одному файлику, я ж их не копил и не сохранял специально. :) и условия задачи как-то конкретизировать, чтобы эти баги у вас воспроизводились. покажите ldd `which mplayer2` список и mplayer2 -v верхушку, где состав и номера версий. ну и какие-то еще если есть ограничения (какие случаи не интересны, или наоборот) - тоже не помешает знать. получится - всем будет хорошо - вы прославитесь, а я хоть в полезном деле поучаствую.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Конфликт между Secunia и VideoLAN, связанный с..."	+1 +/–
	Сообщение от arisu (ok), 11-Июл-13, 07:11
	> я не знаю деталей их виндовой кухни, но как-то с asf умудряются > вообще кодеки из сети качать, во флеше скрипты поддерживаются, да даже > в dvd в меню какую-то логику закладывают (не уверен насчет тьюринг-полноты, > но похоже есть). это для локальных файлов разве ограничивают специально? это, всё-таки, не произвольный код с доступом к произвольному API. >> можно мне хотя бы десяток? чтобы mplayer2 упал. чёрт, это же офигенно: навалом файлов, которые крашат плеер, и никто баги не чинит! да я же прославлюсь, понаприсылав сотни патчей! > давайте попробуем, только в розницу — по одному файлику, я ж их > не копил и не сохранял специально. :) и условия задачи как-то > конкретизировать, чтобы эти баги у вас воспроизводились. покажите ldd `which mplayer2` > список и mplayer2 -v верхушку, где состав и номера версий. можно смело рассчитывать на то, что mplayer2 раз в пару недель пересобирается из git. соответственно, версия «самый новый». кстати, и пересоберу сейчас, раз уж всё равно суд да дело. ldd точно нужен? оно жЫрное, и в основном состоит из бесполезных libXXX.so.[012] да кучи иксовых библиотек. > и какие-то еще если есть ограничения (какие случаи не интересны, или > наоборот) в принципе, не особо интересны случаи, когда баги в библиотеках, не идущих с mplayer2, но я понимаю, что это без анализа не определишь. а, и архитектура у меня x86, так что краши для x86_64, которые нельзя повторить на x86 — тоже мимо. опять же, можно в жабир стукнуть: arisu@neko.im
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Конфликт между Secunia и VideoLAN, связанный с устранением у..."	+1 +/–
	Сообщение от медведдд (ok), 11-Июл-13, 06:03
	"файлов, от которых проигрыватели коры дампят - навалом" mplayer у меня за Х лет ни разу не падал в кору. Навалы в студию.
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

	74. "Конфликт между Secunia и VideoLAN, связанный с устранением у..."	–1 +/–
	Сообщение от Алексей (??), 11-Июл-13, 06:58
	> "файлов, от которых проигрыватели коры дампят - навалом" > mplayer у меня за Х лет ни разу не падал в кору. > Навалы в студию. дык зачем они вам? убедиться что у вас он тоже не бессмертный? так это я не буду спорить, я наоборот подтвердить могу - да, при правильном использовании он хорошо работает, если за Х лет он у вас стабильно работал - то в ближайшие Х*Y хуже работать не станет, только лучше. а падает он во-первых не из-за собственных багов, во-вторых баги, против которых существует и давно известен workaround - мало кому интересны.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Конфликт между Secunia и VideoLAN, связанный с устранением у..."	+/–
	Сообщение от Аноним (-), 11-Июл-13, 13:10
	> mplayer у меня за Х лет ни разу не падал в кору. Не аргумент. Может вы им 2 файла за X лет проигрывали? :) Реально же почти любой плеер на тех или иных файлах может начать испытывать проблемы. Форматы сложные, навороченные. Вполне бывает что оказывается что парсер - лох. И совсем не ожидал что вон в то поле формата запишут нечто этакое, нестандартное. И не всегда это корректно ловится обработчиками ошибок. Если этого не случилось - что последует дальше весьма зависит от.
	Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

	112. "Конфликт между Secunia и VideoLAN, связанный с устранением у..."	+/–
	Сообщение от freehck (ok), 15-Июл-13, 10:52
	> это локальное выполнение кода. с правами пользователя, который открывает файл. Вы так говорите, как будто потеря пользовательских данных менее страшна, чем системных. Про остальные Ваши перлы анонимусы выше уже все Вам рассказали, я вижу.
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема