forum.opennet.ru - "10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода " (56)

"10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода "	+/–
Сообщение от opennews (??), 11-Мрт-26, 12:10
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 10 уязвимостей, все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных в форматах AVI, RTP, H.266, JPEG, ASF, RealMedia и RIFF, а также субтитров DVB-SUB. Двум проблемам присвоен уровень опасности 8.8 из 10, а остальным 7.8. Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64964
Ответить \| Правка \| Cообщить модератору

Оглавление

Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софт, Аноним (1), 12:10 , 11-Мрт-26, (1) +4

И скоро смогут заменить Jia Tan а , Аноним (2), 12:14 , 11-Мрт-26, (2) +1
Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый ко, Аноним (9), 12:36 , 11-Мрт-26, (9) +5

Даже если он искусственны , Аноним (18), 12:52 , 11-Мрт-26, (18) +2

Как сказали в соседней новсти об уязвимости в Pingora, если использовать язык п, Аноним (4), 12:19 , 11-Мрт-26, (4) +5

Тут 8 8, 7 8 Раст 9 3 из 10, Аноним (11), 12:39 , 11-Мрт-26, (11)

Там 3 штуки, тут 10 штук Там нужно лезть на какой-то сайт, тут запустить файлик , Аноним (16), 12:51 , 11-Мрт-26, (16) –3

Вы неправильно считаете Нужно смотреть не на количество уязвимостей, выявленных, Аноним (25), 13:34 , 11-Мрт-26, (25)

Что опасней 10 мух или один бешеный лев , Аноним (11), 14:57 , 11-Мрт-26, (40)

Неверное вычисление размера пакета, после чего другой backend криво обработал з, Аноним (28), 13:50 , 11-Мрт-26, (28) –1

Ну ожидаемо На brainfuck весьма сложно отслеживать логику приложения , Аноним (-), 14:35 , 11-Мрт-26, (35)

Бгг, вы там на модных языках городите всякие IPC RPC механизмы, а в сишечке это , Аноним (5), 12:23 , 11-Мрт-26, (5) +4

Ахаха 128513 128513 128518 Надо запомнить эту шутку, Аноним (13), 12:43 , 11-Мрт-26, (13) –1

FFMPEG only, Аноним (6), 12:25 , 11-Мрт-26, (6) –1

Ломает совместимость и рассыпается раз в месяц Кроме того, там такой кадавр, чт, Аноним (10), 12:38 , 11-Мрт-26, (10) +4

А нечего его дёргать через библиотеки, вопреки идеологии UNIX , Аноним (15), 12:50 , 11-Мрт-26, (15)

А простите идеологии UNIX это как Писать креп рассыпающийся от малейшего чиха , Аноним (20), 12:57 , 11-Мрт-26, (20) +3
Шта А как видеоплееры могут использовать ffmpeg не через библиотеку , Аноним (4), 13:49 , 11-Мрт-26, (27)

выросло поколение , понабрали по ЕГЭ Например ffplay xembed Так, как w3m к, анон (?), 14:19 , 11-Мрт-26, (30)

которое не занимается извращениями Или можно делать это прям в гамаке стоя на лы, Аноним (31), 14:21 , 11-Мрт-26, (31)

Оно извращения объявило нормой , Аноним (55), 15:47 , 11-Мрт-26, (55)

Чувак, ffplay - это и есть тот самый плеер, который юзает библиотеку ffmpeg lib, Аноним (4), 14:33 , 11-Мрт-26, (34)
Не забудь потом запайпит вывод аудио, лол В каком еще окне Только в терминале ч, Аноним (4), 14:36 , 11-Мрт-26, (36)

В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость, Аноним (23), 13:30 , 11-Мрт-26, (23) +1

Да что ты рассказываешь, каждое обновление что-то ломают Т е x 0 0 работает, а, Аноним (10), 14:37 , 11-Мрт-26, (37)

Пример в студию, Аноним (44), 15:14 , 11-Мрт-26, (44)

Спроси у жырнолиса, он должен быть в курсе Вот так точно было с 6, а мажорные в, Аноним (10), 15:28 , 11-Мрт-26, (51)

Ни одной, ни одной уязвимости без проблемы с памятью И все позволяют выполнить п, Аноним (16), 12:32 , 11-Мрт-26, (7) –2

https www opennet ru opennews art shtml num 64957, Аноним (11), 12:40 , 11-Мрт-26, (12) +1

Вы ту новость-то читали Там логические ошибки, можно сказать программисты if за, Аноним (13), 12:47 , 11-Мрт-26, (14)

А в итоге разницы нет , Аноним (17), 12:51 , 11-Мрт-26, (17)

Разница есть Наличие проблем с управлением памятью никак не исключает количеств, Аноним (25), 13:36 , 11-Мрт-26, (26) +2
Есть разница логические растоошибки отмечены куда более опасными , Аноним (11), 15:01 , 11-Мрт-26, (41)

8 8 vs 9 3 Я бы согласился если бы было 9 и 5 Но куда более это явное преувел, Аноним (46), 15:21 , 11-Мрт-26, (46)

Отличный наброс из серии а у вас негров линчуют Чтобы получить проблему там - , Аноним (16), 12:52 , 11-Мрт-26, (19) –1

Забавно Тут смотрелка, которая может специально подготовленными файлами закреши, Аноним (22), 13:15 , 11-Мрт-26, (22)

Таки закрешить или выполнить произвольный код Или у фанатов дыpяшки все и, Аноним (-), 13:31 , 11-Мрт-26, (24)

Работающий эксплоит не предоставлен , Аноним (11), 15:03 , 11-Мрт-26, (42)

Точно так же как и для Pingora Там даже лучше - самая опасная ошибка вообще не р, Аноним (46), 15:08 , 11-Мрт-26, (43)

H 266 - на дидов не сопрешь , Аноним (8), 12:33 , 11-Мрт-26, (8) +1

Они создали базу, молодежь ничего не может , Сладкая булочка (?), 15:28 , 11-Мрт-26, (50)

Скрыто модератором, Аноним (-), 16:27 , 11-Мрт-26, (57)

Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код , Аноним (17), 13:14 , 11-Мрт-26, (21) –1

Легко JPEG это дискретное косинусное преобразование, им можно приблизить любую , анон (?), 14:23 , 11-Мрт-26, (32)
Единственный адекватный вопрос в комментах Посмотрите, что такое glib и gobject, Аноним (44), 15:17 , 11-Мрт-26, (45) –2

Каким образом это относится к вопросу , Сладкая булочка (?), 15:29 , 11-Мрт-26, (52) +1

Кто-то опять сканер расчехлил А не хотят ли гномовцы встроить его в ci , Сладкая булочка (?), 14:28 , 11-Мрт-26, (33)

Чтобы они вообще ничего закоммитить не смогли , Аноним (38), 14:53 , 11-Мрт-26, (38) –1

Падумаешь В прошлый раз нашли 29 уязвимостей и чо opennet ru opennews art s, Аноним (38), 14:56 , 11-Мрт-26, (39)

Уменьшается, чо , Сладкая булочка (?), 15:25 , 11-Мрт-26, (48)

Скрыто модератором, Аноним (47), 15:21 , 11-Мрт-26, (47) –2

Скрыто модератором, Сладкая булочка (?), 15:26 , 11-Мрт-26, (49) +1

Скрыто модератором, Аноним (53), 15:36 , 11-Мрт-26, (53) –1

Скрыто модератором, Сладкая булочка (?), 15:39 , 11-Мрт-26, (54)

Скрыто модератором, Аноним (56), 15:53 , 11-Мрт-26, (56)

Скрыто модератором, Сладкая булочка (?), 16:38 , 11-Мрт-26, (58)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 11-Мрт-26, 12:10 +4 +/–

Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софте - нейронки уже умеют слишком хорошо находить их.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #9

2. Сообщение от Аноним (2), 11-Мрт-26, 12:14 +1 +/–

И скоро смогут заменить Jia Tan'а ;)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 11-Мрт-26, 12:19 +5 +/–

> Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению.
Как сказали в соседней новсти об уязвимости в Pingora, "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить". Whait, oh shi... 😳

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #35

5. Сообщение от Аноним (5), 11-Мрт-26, 12:23 +4 +/–

> уязвимостей, все из которых помечены как допускающие удалённое выполнение кода
Бгг, вы там на модных языках городите всякие IPC/RPC механизмы, а в сишечке это вон прямо из коробки есть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

6. Сообщение от Аноним (6), 11-Мрт-26, 12:25 –1 +/–

FFMPEG only

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

7. Сообщение от Аноним (16), 11-Мрт-26, 12:32 –2 +/–

> выявлено 10 уязвимостей
> восемь приводят к записи данных за пределы буфера
> две к целочисленному переполнению
Ни одной, ни одной уязвимости без проблемы с памятью!
И все позволяют выполнить произвольный код... прям какая-то жесть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

8. Сообщение от Аноним (8), 11-Мрт-26, 12:33 +1 +/–

H.266 - на дидов не сопрешь :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

9. Сообщение от Аноним (9), 11-Мрт-26, 12:36 +5 +/–

Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый код на предмет ошибок и уязвимостей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18

10. Сообщение от Аноним (10), 11-Мрт-26, 12:38 +4 +/–

Ломает совместимость и рассыпается раз в месяц. Кроме того, там такой кадавр, что найти подобные баги в нём не в пример сложнее (а их там есть, и намеренные, и нет).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15, #23

11. Сообщение от Аноним (11), 11-Мрт-26, 12:39 +/–

Тут: 8.8, 7.8... Раст: 9.3 из 10

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16, #28

12. Сообщение от Аноним (11), 11-Мрт-26, 12:40 +1 +/–

https://www.opennet.ru/opennews/art.shtml?num=64957

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #14, #19

13. Сообщение от Аноним (13), 11-Мрт-26, 12:43 –1 +/–

Ахаха 😁😁😆
Надо запомнить эту шутку

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от Аноним (13), 11-Мрт-26, 12:47 +/–

Вы ту новость-то читали? Там логические ошибки, можно сказать программисты if забыли написать вот и уязвимость. А тут дыры в самых базовых вещах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 11-Мрт-26, 12:50 +/–

> Ломает совместимость и рассыпается раз в месяц.
А нечего его дёргать через библиотеки, вопреки идеологии UNIX.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #20, #27

16. Сообщение от Аноним (16), 11-Мрт-26, 12:51 –3 +/–

Там 3 штуки, тут 10 штук.
Там нужно лезть на какой-то сайт, тут запустить файлик локально.
Где тут любитель "зеленого магазина"?
Оба хороши...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #25

17. Сообщение от Аноним (17), 11-Мрт-26, 12:51 +/–

А в итоге разницы нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #26, #41

18. Сообщение от Аноним (18), 11-Мрт-26, 12:52 +2 +/–

Даже если он искусственны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

19. Сообщение от Аноним (16), 11-Мрт-26, 12:52 –1 +/–

Отличный наброс из серии "а у вас негров линчуют".
Чтобы получить проблему там - нужно еще постараться.
А тут нужно просто кинцо с торрента скачать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #22

20. Сообщение от Аноним (20), 11-Мрт-26, 12:57 +3 +/–

А простите "идеологии UNIX" это как?
Писать креп рассыпающийся от малейшего чиха?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

21. Сообщение от Аноним (17), 11-Мрт-26, 13:14 –1 +/–

Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #45

22. Сообщение от Аноним (22), 11-Мрт-26, 13:15 +/–

Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя.
Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда.
Что же из этого хуже?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от Аноним (23), 11-Мрт-26, 13:30 +1 +/–

>Ломает совместимость
В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость сохраняется. А переезд 7.1 - 8.0 так вообще прошёл без проблем.

> баги в нём не в пример сложнее
После кода гстримера там код читается как букварь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #37

24. Сообщение от Аноним (-), 11-Мрт-26, 13:31 +/–

> Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя.
Таки закрешить или выполнить произвольный код?))
Или у фанатов дыpяшки "... все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных..." теперь называется закрешить?
> Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда.
"Проблемы проявляются при использовании Pingora в форме обратного прокси (ingress proxy), ...
Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси "
Ну т.е саму Cloudflare это не коснулось, а возможно пострадали ̶б̶е̶с̶п̶л̶а̶т̶н̶ы̶е̶ ̶б̶е̶т̶а̶т̶е̶с̶т̶е̶р̶ы̶ любители халявы.
> Что же из этого хуже?
Думаю первое.
Т.е с торрентов качается много видео, скорее всего дырки уже используются.
Второе тоже очень плохо, но реализация сложнее и обычных пользователь от этого пострадает с меньшей вероятностью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #42

25. Сообщение от Аноним (25), 11-Мрт-26, 13:34 +/–

>Там 3 штуки, тут 10 штук.
Вы неправильно считаете. Нужно смотреть не на количество уязвимостей, выявленных за раз, а на их суммарное количество. В GStreamer постоянно находят уязвимости, связанные с управлением памятью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #40

26. Сообщение от Аноним (25), 11-Мрт-26, 13:36 +2 +/–

Разница есть. Наличие проблем с управлением памятью никак не исключает количество логических ошибок, а суммируется с ним.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

27. Сообщение от Аноним (4), 11-Мрт-26, 13:49 +/–

>> FFMpeg
> А нечего его дёргать через библиотеки, вопреки идеологии UNIX.
Шта? А как видеоплееры могут использовать ffmpeg не через библиотеку?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #30

28. Сообщение от Аноним (28), 11-Мрт-26, 13:50 –1 +/–

Неверное вычисление размера пакета, после чего другой! backend криво обработал запрос - 9.3 балла.
Исполнение произвольного кода при открытии JPEG картинки - 7.8 баллов.
Брава! =)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

30. Сообщение от анон (?), 11-Мрт-26, 14:19 +/–

"выросло поколение", "понабрали по ЕГЭ".
Например ffplay + xembed. Так, как w3m картинки показывает.

Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #31, #34, #36

31. Сообщение от Аноним (31), 11-Мрт-26, 14:21 +/–

> "выросло поколение",
которое не занимается извращениями)
> Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.
Или можно делать это прям в гамаке стоя на лыжах.
Чего не сделаешь ради качественного прдолинга ради прдолинга.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #55

32. Сообщение от анон (?), 11-Мрт-26, 14:23 +/–

Легко. JPEG это дискретное косинусное преобразование, им можно приблизить любую функцию (если её отразить относительно 0), ну а потом просто br на её начало.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от Сладкая булочка (?), 11-Мрт-26, 14:28 +/–

Кто-то опять сканер расчехлил? А не хотят ли гномовцы встроить его в ci?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

34. Сообщение от Аноним (4), 11-Мрт-26, 14:33 +/–

>> А как видеоплееры могут использовать ffmpeg не через библиотеку?
> Например ffplay + xembed.
Чувак, ffplay - это и есть тот самый плеер, который юзает библиотеку ffmpeg (libav).
> "выросло поколение", "понабрали по ЕГЭ".
Какая ирония...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

35. Сообщение от Аноним (-), 11-Мрт-26, 14:35 +/–

Ну ожидаемо.
На brainfuck весьма сложно отслеживать логику приложения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

36. Сообщение от Аноним (4), 11-Мрт-26, 14:36 +/–

> Или можно пайпать вывод ffmpeg2yuv, а yuv
Не забудь потом запайпит вывод аудио, лол.
> рисовать на своём окне.
В каком еще окне? Только в терминале через libcaca! Ты что, только консольный юниксвей!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

37. Сообщение от Аноним (10), 11-Мрт-26, 14:37 +/–

Да что ты рассказываешь, каждое обновление что-то ломают. Т.е. x.0.0 работает, а x.0.1 и последующие уже отвалится в куче мест. У них вообще нет совместимости, ломают все "ветки" разом. Именно по этой причине всему софту приходится тащить свою протухшую копию ffmpeg. Gstreamer, для сравнения, я не помню, чтобы ломал что-то, единственное было 0.10->1.0.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #44

38. Сообщение от Аноним (38), 11-Мрт-26, 14:53 –1 +/–

> А не хотят ли гномовцы встроить его в ci?
Чтобы они вообще ничего закоммитить не смогли?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

39. Сообщение от Аноним (38), 11-Мрт-26, 14:56 +/–

> 10 уязвимостей в GStreamer
Падумаешь!
В прошлый раз нашли 29 уязвимостей... и чо?!
opennet.ru/opennews/art.shtml?num=62441

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

40. Сообщение от Аноним (11), 11-Мрт-26, 14:57 +/–

Что опасней: 10 мух или один бешеный лев?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

41. Сообщение от Аноним (11), 11-Мрт-26, 15:01 +/–

Есть разница: логические растоошибки отмечены куда более опасными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #46

42. Сообщение от Аноним (11), 11-Мрт-26, 15:03 +/–

> или выполнить произвольный код?)
Работающий эксплоит не предоставлен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #43

43. Сообщение от Аноним (46), 11-Мрт-26, 15:08 +/–

>> или выполнить произвольный код?)
> Работающий эксплоит не предоставлен.
Точно так же как и для Pingora.
Там даже лучше - самая опасная ошибка вообще не работает на инфраструктуре клоудфлари "Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (44), 11-Мрт-26, 15:14 +/–

Пример в студию

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #51

45. Сообщение от Аноним (44), 11-Мрт-26, 15:17 –2 +/–

Единственный адекватный вопрос в комментах. Посмотрите, что такое glib и gobject. Это буквально ООП в сишке, со всеми вытекающими из ООП парадигмы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #52

46. Сообщение от Аноним (46), 11-Мрт-26, 15:21 +/–

> Есть разница: логические растоошибки отмечены куда более опасными.
8.8 vs 9.3 ?
Я бы согласился если бы было 9 и 5.
Но "куда более" это явное преувеличение для оправдания Жстриммеров)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от Аноним (47), 11-Мрт-26, 15:21 Скрыто ботом-модератором –2 +/–

Ну что, раст все еще нинужон?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

48. Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:25 +/–

>> 10 уязвимостей в GStreamer
> Падумаешь!
> В прошлый раз нашли 29 уязвимостей... и чо?!
> opennet.ru/opennews/art.shtml?num=62441
Уменьшается, чо!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

49. Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:26 +1 +/–

> Ну что, раст все еще нинужон?
- Алло, IT отдел?
- Слушаю
- Вам нужно все переписать на раст, потому что memory safety
- Ну так перепишите
- Кто? Я?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #53

50. Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:28 +/–

> H.266 - на дидов не сопрешь :)
Они создали базу, молодежь ничего не может.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #57

51. Сообщение от Аноним (10), 11-Мрт-26, 15:28 +/–

> Пример в студию
Спроси у жырнолиса, он должен быть в курсе. Вот так точно было с 6, а мажорные всегда без исключаний отваливаются. И хорошо ещё компиляция сломается, часто узнаёшь об этом сильно постфактум. Это помойная либа, как и libvpx.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:29 +1 +/–

Каким образом это относится к вопросу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

53. Сообщение от Аноним (53), 11-Мрт-26, 15:36 –1 +/–

Так переписывают.
Но в комментах начинается воняние дидов:
"я нипанимат! мой дидовый мозг не осиливает борова!!"
"на моем коре2duo оно компилится трое суток!!"
"я залез разработчику в трусы и мне не понравилось что я там нашел!"
и так далее.
Так что вы определитесь нужно переписывать или нет)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #54

54. Сообщение от Сладкая булочка (?), 11-Мрт-26, 15:39 +/–

> Так переписывают.
> Но в комментах начинается воняние дидов:
> "я нипанимат! мой дидовый мозг не осиливает борова!!"
> "на моем коре2duo оно компилится трое суток!!"
> "я залез разработчику в трусы и мне не понравилось что я там
> нашел!"
> и так далее.
Так, а минусы будут?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #56

55. Сообщение от Аноним (55), 11-Мрт-26, 15:47 +/–

>> "выросло поколение",
>которое не занимается извращениями)
Оно извращения объявило нормой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

56. Сообщение от Аноним (56), 11-Мрт-26, 15:53 Скрыто ботом-модератором +/–

> Так, а минусы будут?
Конечно!
Воняют под руку, мешают переписывать.
Разве этого мало?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #58

57. Сообщение от Аноним (-), 11-Мрт-26, 16:27 Скрыто ботом-модератором +/–

> Они создали базу
Истукан на глиняных ногах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

58. Сообщение от Сладкая булочка (?), 11-Мрт-26, 16:38 +/–

>> Так, а минусы будут?
> Конечно!
> Воняют под руку, мешают переписывать.
> Разве этого мало?
То мешают, то в трусы заглядывают. Бедненькие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 11-Мрт-26, 12:10	+4 +/–
Благодаря нейронкам в 2026 ожидайте тысячи реальных уязвимостей в опен-сорс софте - нейронки уже умеют слишком хорошо находить их.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #9

2. Сообщение от Аноним (2), 11-Мрт-26, 12:14	+1 +/–
И скоро смогут заменить Jia Tan'а ;)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 11-Мрт-26, 12:19	+5 +/–
> Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению. Как сказали в соседней новсти об уязвимости в Pingora, "если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить". Whait, oh shi... 😳
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #35

5. Сообщение от Аноним (5), 11-Мрт-26, 12:23	+4 +/–
> уязвимостей, все из которых помечены как допускающие удалённое выполнение кода Бгг, вы там на модных языках городите всякие IPC/RPC механизмы, а в сишечке это вон прямо из коробки есть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

6. Сообщение от Аноним (6), 11-Мрт-26, 12:25	–1 +/–
FFMPEG only
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10

7. Сообщение от Аноним (16), 11-Мрт-26, 12:32	–2 +/–
> выявлено 10 уязвимостей > восемь приводят к записи данных за пределы буфера > две к целочисленному переполнению Ни одной, ни одной уязвимости без проблемы с памятью! И все позволяют выполнить произвольный код... прям какая-то жесть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

8. Сообщение от Аноним (8), 11-Мрт-26, 12:33	+1 +/–
H.266 - на дидов не сопрешь :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #50

9. Сообщение от Аноним (9), 11-Мрт-26, 12:36	+5 +/–
Наконец-то появились те мифические 1000 глаз, безустанно сканирующих открытый код на предмет ошибок и уязвимостей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #18

10. Сообщение от Аноним (10), 11-Мрт-26, 12:38	+4 +/–
Ломает совместимость и рассыпается раз в месяц. Кроме того, там такой кадавр, что найти подобные баги в нём не в пример сложнее (а их там есть, и намеренные, и нет).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #15, #23

11. Сообщение от Аноним (11), 11-Мрт-26, 12:39	+/–
Тут: 8.8, 7.8... Раст: 9.3 из 10
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #16, #28

12. Сообщение от Аноним (11), 11-Мрт-26, 12:40	+1 +/–
https://www.opennet.ru/opennews/art.shtml?num=64957
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #14, #19

13. Сообщение от Аноним (13), 11-Мрт-26, 12:43	–1 +/–
Ахаха 😁😁😆 Надо запомнить эту шутку
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

14. Сообщение от Аноним (13), 11-Мрт-26, 12:47	+/–
Вы ту новость-то читали? Там логические ошибки, можно сказать программисты if забыли написать вот и уязвимость. А тут дыры в самых базовых вещах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #17

15. Сообщение от Аноним (15), 11-Мрт-26, 12:50	+/–
> Ломает совместимость и рассыпается раз в месяц. А нечего его дёргать через библиотеки, вопреки идеологии UNIX.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #20, #27

16. Сообщение от Аноним (16), 11-Мрт-26, 12:51	–3 +/–
Там 3 штуки, тут 10 штук. Там нужно лезть на какой-то сайт, тут запустить файлик локально. Где тут любитель "зеленого магазина"? Оба хороши...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #25

17. Сообщение от Аноним (17), 11-Мрт-26, 12:51	+/–
А в итоге разницы нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #26, #41

18. Сообщение от Аноним (18), 11-Мрт-26, 12:52	+2 +/–
Даже если он искусственны.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

19. Сообщение от Аноним (16), 11-Мрт-26, 12:52	–1 +/–
Отличный наброс из серии "а у вас негров линчуют". Чтобы получить проблему там - нужно еще постараться. А тут нужно просто кинцо с торрента скачать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #22

20. Сообщение от Аноним (20), 11-Мрт-26, 12:57	+3 +/–
А простите "идеологии UNIX" это как? Писать креп рассыпающийся от малейшего чиха?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

21. Сообщение от Аноним (17), 11-Мрт-26, 13:14	–1 +/–
Это как надо навайбкодить чтобы при отрисовке ЖПЕГ запускался произвольный код.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #32, #45

22. Сообщение от Аноним (22), 11-Мрт-26, 13:15	+/–
Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя. Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда. Что же из этого хуже?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #24

23. Сообщение от Аноним (23), 11-Мрт-26, 13:30	+1 +/–
>Ломает совместимость В пределах одной мажорной версии ничего не ломается, даже бинарная совместимость сохраняется. А переезд 7.1 - 8.0 так вообще прошёл без проблем. > баги в нём не в пример сложнее После кода гстримера там код читается как букварь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #37

24. Сообщение от Аноним (-), 11-Мрт-26, 13:31	+/–
> Забавно. Тут смотрелка, которая может специально подготовленными файлами закрешить программу локального пользователя. Таки закрешить или выполнить произвольный код?)) Или у фанатов дыpяшки "... все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных..." теперь называется закрешить? > Там система гарантирующая безопасную доставку контента позволяет его подменить. То есть, как вариант, послать деньги не туда. "Проблемы проявляются при использовании Pingora в форме обратного прокси (ingress proxy), ... Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси " Ну т.е саму Cloudflare это не коснулось, а возможно пострадали ̶б̶е̶с̶п̶л̶а̶т̶н̶ы̶е̶ ̶б̶е̶т̶а̶т̶е̶с̶т̶е̶р̶ы̶ любители халявы. > Что же из этого хуже? Думаю первое. Т.е с торрентов качается много видео, скорее всего дырки уже используются. Второе тоже очень плохо, но реализация сложнее и обычных пользователь от этого пострадает с меньшей вероятностью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #42

25. Сообщение от Аноним (25), 11-Мрт-26, 13:34	+/–
>Там 3 штуки, тут 10 штук. Вы неправильно считаете. Нужно смотреть не на количество уязвимостей, выявленных за раз, а на их суммарное количество. В GStreamer постоянно находят уязвимости, связанные с управлением памятью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #40

26. Сообщение от Аноним (25), 11-Мрт-26, 13:36	+2 +/–
Разница есть. Наличие проблем с управлением памятью никак не исключает количество логических ошибок, а суммируется с ним.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

27. Сообщение от Аноним (4), 11-Мрт-26, 13:49	+/–
>> FFMpeg > А нечего его дёргать через библиотеки, вопреки идеологии UNIX. Шта? А как видеоплееры могут использовать ffmpeg не через библиотеку?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #30

28. Сообщение от Аноним (28), 11-Мрт-26, 13:50	–1 +/–
Неверное вычисление размера пакета, после чего другой! backend криво обработал запрос - 9.3 балла. Исполнение произвольного кода при открытии JPEG картинки - 7.8 баллов. Брава! =)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

30. Сообщение от анон (?), 11-Мрт-26, 14:19	+/–
"выросло поколение", "понабрали по ЕГЭ". Например ffplay + xembed. Так, как w3m картинки показывает. Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #31, #34, #36

31. Сообщение от Аноним (31), 11-Мрт-26, 14:21	+/–
> "выросло поколение", которое не занимается извращениями) > Или можно пайпать вывод ffmpeg2yuv, а yuv рисовать на своём окне. Или можно делать это прям в гамаке стоя на лыжах. Чего не сделаешь ради качественного прдолинга ради прдолинга.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #55

32. Сообщение от анон (?), 11-Мрт-26, 14:23	+/–
Легко. JPEG это дискретное косинусное преобразование, им можно приблизить любую функцию (если её отразить относительно 0), ну а потом просто br на её начало.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21