The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Конфликт между Secunia и VideoLAN, связанный с устранением уязвимостей в VLC

10.07.2013 10:48

Компания Secunia Research выступила с критикой методов реагирования проекта VideoLAN на обнаружение уязвимостей в медиапроигрывателе VLC, приведя пример двух уязвимостей, позволяющих организовать выполнение кода при обработке файлов в форматах SWF и MKV. Первая уязвимость была выявлена в декабре прошлого года, а вторая в апреле нынешнего года. Исправление первой проблемы было заявлено ещё в выпуске 2.0.5, но на деле уязвимость остаётся неисправленной до сих пор, в том числе и в последней версии 2.0.7. Похожая ситуация наблюдается и со второй уязвимостью, исправления которой не вошли в состав VLC 2.0.7. По заявлению Secunia Research компания уже несколько месяцев не может добиться исправления уязвимостей и поэтому вынуждена предать ситуацию огласке.

В ответ на критику разработчики VLC опубликовали достаточно резкое сообщение, в котором обвинили Secunia во лжи и предвзятости. По поводу первой уязвимости утверждается, что VLC никогда официально не поддерживал формат SWF, уязвимость находится в коде библиотеки из состава FFmpeg/libav и исправление было включено в сборки VLC 2.0.5. Secunia указывает на то, что было устранено лишь частное проявление проблемы, но уязвимость по сути осталась неисправленной (более того, был создан эксплоит для использования данной проблемы для атаки через файлы AVI). Что касается проблем в сторонних библиотеках, то сборки VLC поставляются статически скомпонованными с уязвимой версией libav, что делает весь продукт уязвимым, независимо от того в чьём коде имеется ошибка.

Вторая уязвимость заявлена разработчиками VLC как неэксплуатируемая и приводящая только к краху приложения, поэтому они не считают проблему уязвимостью. В ответ на данное заявление, в списке рассылки FullDisclosure независимым исследователем безопасности был опубликован рабочий прототип эксплоита (ранее эксплоит не был доступен публично), показывающий, что проблема представляет реальную угрозу для пользователей. В примечании указывается, что Secunia Research профессионально занимается проблемами безопасности, поэтому стоит прислушаться к их мнению о степени опасности проблемы, а не придумывать оправдания о незначительности выявленной ошибки.

  1. Главная ссылка к новости (http://secunia.com/blog/372/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/37389-security
Ключевые слова: security, vlc
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (96) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:13, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Зря они так. Звезду, что ли, поймали?
     
     
  • 2.32, Аноним (-), 15:04, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А теперь они поймали звиздюли от секурити-исследователей, которые не любят раздолбаев :)
     
     
  • 3.59, Алексей (??), 00:49, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –12 +/
    пользователь выбирает vlc, а не безопасность, и это нормально.
    то есть я лично не знаю, насколько специалисты из secunia компетентны (и оценить не могу), но если их мнение не сходится с мнением автора программы (причем именно оценочное мнение), то они скорее всего ошибаются.
     
     
  • 4.66, arisu (ok), 02:27, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > пользователь выбирает vlc, а не безопасность, и это нормально.

    только для безмозглых даунов.

     
     
  • 5.69, Алексей (??), 04:17, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    с чего это вдруг?
    я им музыку слушаю, софт с задачей справляется. в общем-то я еще рядом плееров для того же пользуюсь (по ситуации). каких-то иллюзий насчет безопасности софта я в целом не питаю.
    а вот пользоваться программой, и не доверять мнению её автора о её же безопасности (не будучи специалистом) - это как раз ближе к клиническим случаям.
     
     
  • 6.75, arisu (ok), 07:04, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > с чего это вдруг?

    не «vlc для безмозглых даунов», а «только безмозглые дауны плюют на безопасноть». безотносительно названия программы.

     
  • 6.79, Аноним (-), 09:42, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > доверять мнению её автора о её же безопасности (не будучи специалистом) - это как раз ближе к клиническим случаям.

    Атож! https://www.opennet.ru/opennews/art.shtml?num=36943

     
  • 6.113, XoRe (ok), 14:19, 17/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > а вот пользоваться программой, и не доверять мнению её автора о её
    > же безопасности (не будучи специалистом) - это как раз ближе к
    > клиническим случаям.

    В том и дело, что secunia - сайт _специалистов_ по безопасности.

     
  • 3.99, Аноним (-), 22:05, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Скачал я их файлик mkv, попробовал его просмотреть, KPlayer пишет "ошибка". Другие программы ничего не пишут, но и ничего не показывают. Никакого Access violation нетути, как ни старайся (старался не очень сильно). Да, забыл сказать, у меня-же GNU/Linux.
     

  • 1.2, Аноним (-), 11:15, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чо такую мякотку то опустили?

    > Later, another researcher independently contacted us via SVCRP (Secunia Vulnerability Coordination Reward Program) and reported a vulnerability in VLC version 2.0.5. When we analysed the vulnerability, it turned out to be the same use-after-free issue described in SA51464 - only the vector this time was via an AVI file rather than an SWF file.

     
  • 1.4, Аноним (-), 11:16, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А тем временем в FFMPEG тихо и без возгласов появилась поддержка OpenCL
     
     
  • 2.6, gkv311 (ok), 11:37, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >А тем временем в FFMPEG тихо и без возгласов появилась поддержка OpenCL

    Насколько я знаю - только экспериментально в фильтрах.
    Лично мне функциональность фильтров - до лампочки...

     
     
  • 3.33, Аноним (-), 15:05, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Насколько я знаю - только экспериментально в фильтрах.

    Первая ласточка. А тем временемм в амдшных открытых драйверах opencl тоже понемногу допиливается. Через несколько годков все это соберется в милейшую такую конструкцию, мощную и современную :)

     

  • 1.5, noize (ok), 11:36, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шо, неужто VLC тоже школьники разрабатывают?
     
     
  • 2.7, Хрен с горы (?), 11:51, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А что по нему не видно?
     
     
  • 3.23, Аноним (-), 14:10, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что по нему не видно?

    Первая ветка еще ничего была.
    А вот со второй все стало понятно.

     
  • 2.11, robux (ok), 12:43, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Конечно VLC пишут школьники и аналитики.
    Настоящие же созидатели на опёнке в камментах творят шедевры!
     
     
  • 3.24, Аноняша (?), 14:12, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Оборванцы и там и там. Голодные злые оборванцы.
     
     
  • 4.53, robux (ok), 20:12, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ладно хоть в микрософте и АНБ сытые, добрые и порядочные люди работают.
     
  • 2.47, Lain_13 (ok), 19:04, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ты видел как они ssa/ass субтитры с эффектами рисуют на видео, непропорциональном экрану? Да даже если оно пропорционально он их корёжит. Да и корректно конвертировать цвета они научились лишь недавно. -_-
    Не знаю кто они, но хорошими словами назвать как-то осложнительно.
     
  • 2.49, arisu (ok), 19:09, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Шо, неужто VLC тоже школьники разрабатывают?

    студенты. которые немногим лучше.

     
     
  • 3.60, Аноним (-), 00:57, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так говоришь, как будто 95% обладателей дипломов кодят лучше скубентов.
    Если человек дурак - это на всю жизнь.
     
     
  • 4.64, arisu (ok), 02:22, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты так говоришь, как будто 95% обладателей дипломов кодят лучше скубентов.

    нет, я так не говорю. именно поэтому после «студенты» я добавил характеристику.

     
  • 3.111, freehck (ok), 10:42, 15/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > которые немногим лучше

    Прекрасная характеристика. Что интересно, выделение голосом конкретного слова меняет смысл на противоположный.

     

  • 1.8, Xasd (ok), 12:09, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Вторая уязвимость заявлена разработчиками VLC как неэксплуатируемая и приводящая только к краху приложения, поэтому они не считают проблему уязвимостью

    всё ясно в вами ребята.

    вашего плеера не будет у меня на компьютере. (хотя ведь и не было).

     
     
  • 2.18, Нанобот (?), 13:43, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    от горэ...
     

  • 1.10, robux (ok), 12:40, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Раньше юзал VLC, годный плеер, универсальный: от айпирадио до твтюнера.

    Мущай мужики покипят - нужно иногда кровь разгонять чтобы двигаться, ничего страшного в этом споре нет. Побухтят и сделают как надо, не ссыте.

     
  • 1.14, thresh (??), 12:47, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > был опубликован (http://seclists.org/fulldisclosure/2013/Jul/71) рабочий прототип
    > эксплоита (ранее эксплоит не был доступен публично), показывающий, что проблема представляет
    > реальную угрозу для пользователей.

    а какую именно представляет угрозу для пользователей файл, который крэшит приложение?

    хотелось бы понять, как именно это можно использовать.

     
     
  • 2.25, Аноним (-), 14:13, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а какую именно представляет угрозу для пользователей файл, который крэшит приложение?

    Крэшит приложение он за счет того, что перезаписывает область памяти, в которой хранится ее исполняемый код. Если записать туда рандомные байты, или просто выйти за границы области - программа рухнет. А вот если зафигачить туда зловредный код - все становится интереснее...

     
     
  • 3.84, thresh (??), 11:54, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> а какую именно представляет угрозу для пользователей файл, который крэшит приложение?
    > Крэшит приложение он за счет того, что перезаписывает область памяти, в которой
    > хранится ее исполняемый код. Если записать туда рандомные байты, или просто
    > выйти за границы области - программа рухнет. А вот если зафигачить
    > туда зловредный код - все становится интереснее...

    Перезаписывает ли? Вы бэктрейс видели?

     
     
  • 4.100, Аноним (-), 22:07, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Перезаписывает ли?

    Да.

     
  • 2.34, Аноним (-), 15:09, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а какую именно представляет угрозу для пользователей файл, который крэшит приложение?

    Там где крэш, там зачастую и выполнение кода, если повезет. Зависит от того что именно программа при этом делает, конечно, и насколько там в системе все обложено stack-protector, fortify source и прочими ASLR. Однако в целом потенциал имеется и недооценивать крахи - глупо. Для разработчиков лучше всего считать что если программа падает - это критичная проблема и чинить ее ASAP. Это наиболее безопасный и ответственный вариант.

     
     
  • 3.50, arisu (ok), 19:11, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то любой баг лучше починить. подход «ну да, падает. и что? баг некритичный, нам лень его чинить. и вообще, это не наш баг, это чужой баг!» — весьма… странный, если мягко выражаться.

    впрочем, это же vlc. родился как корявая студподелка и развивается так же.

     
     
  • 4.81, thresh (??), 11:44, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > вообще-то любой баг лучше починить. подход «ну да, падает. и что? баг
    > некритичный, нам лень его чинить. и вообще, это не наш баг,
    > это чужой баг!» — весьма… странный, если мягко выражаться.

    Так ведь его и починили, вот только secunia достаточно, ээ, туповаты, чтобы это увидеть.

     
     
  • 5.95, arisu (ok), 21:23, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Так ведь его и починили, вот только secunia достаточно, ээ, туповаты, чтобы
    > это увидеть.

    я, в данном случае, после поверхностного чтения не понял, кто на ком сидел. автор говорит одно, секуния другое — надо самому шариться по исходникам. а лень.

     
  • 3.61, Алексей (??), 01:11, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это локальное выполнение кода с правами пользователя, который открывает файл ... большой текст свёрнут, показать
     
     
  • 4.67, arisu (ok), 02:30, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > это локальное выполнение кода. с правами пользователя, который открывает файл.

    как будто этого мало.

    > причем среди поддерживаемых форматов часть это позволяет в штатном режиме.

    э? кто это там позволяет выполнять произвольный код? O_O

    > файлов, от которых проигрыватели коры дампят
    > — навалом, и без происков хакеров )

    можно мне хотя бы десяток? чтобы mplayer2 упал. чёрт, это же офигенно: навалом файлов, которые крашат плеер, и никто баги не чинит! да я же прославлюсь, понаприсылав сотни патчей!

     
     
  • 5.73, Алексей (??), 06:20, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это не мало или много, это просто достаточно для извлечения выгоды т е для ма... большой текст свёрнут, показать
     
     
  • 6.77, arisu (ok), 07:11, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это, всё-таки, не произвольный код с доступом к произвольному API можно смело р... большой текст свёрнут, показать
     
  • 4.72, медведдд (ok), 06:03, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "файлов, от которых проигрыватели коры дампят - навалом"

    mplayer у меня за Х лет ни разу не падал в кору. Навалы в студию.

     
     
  • 5.74, Алексей (??), 06:58, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "файлов, от которых проигрыватели коры дампят - навалом"
    > mplayer у меня за Х лет ни разу не падал в кору.
    > Навалы в студию.

    дык зачем они вам? убедиться что у вас он тоже не бессмертный?
    так это я не буду спорить, я наоборот подтвердить могу - да, при правильном использовании он хорошо работает, если за Х лет он у вас стабильно работал - то в ближайшие Х*Y хуже работать не станет, только лучше.
    а падает он во-первых не из-за собственных багов, во-вторых баги, против которых существует и давно известен workaround - мало кому интересны.

     
  • 5.85, Аноним (-), 13:10, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > mplayer у меня за Х лет ни разу не падал в кору.

    Не аргумент. Может вы им 2 файла за X лет проигрывали? :)

    Реально же почти любой плеер на тех или иных файлах может начать испытывать проблемы. Форматы сложные, навороченные. Вполне бывает что оказывается что парсер - лох. И совсем не ожидал что вон в то поле формата запишут нечто этакое, нестандартное. И не всегда это корректно ловится обработчиками ошибок. Если этого не случилось - что последует дальше весьма зависит от.

     
  • 4.112, freehck (ok), 10:52, 15/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > это локальное выполнение кода. с правами пользователя, который открывает файл.

    Вы так говорите, как будто потеря пользовательских данных менее страшна, чем системных.
    Про остальные Ваши перлы анонимусы выше уже все Вам рассказали, я вижу.

     

  • 1.15, Аноним (-), 13:16, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Раз они такие спецы в этой секунии, взяли бы и пофиксили, это же опенсорс,  нет, они предпочитают вопить и самопиариться
     
     
  • 2.16, Аноним (-), 13:40, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это их бизнес. Авось кто-то закажет у них исследование безопасности.
     
     
  • 3.22, Аноним (-), 14:09, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это их бизнес. Авось кто-то закажет у них исследование безопасности.

    Дык заказывают, и очень многие.

     
  • 3.35, Аноним (-), 15:14, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Помоему пиар "Мы нашли ошибку и исправили" много лучше, чем "мы нашли ошибку и орем"
     
     
  • 4.39, Аноним (-), 16:06, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Помоему пиар "Мы нашли ошибку и исправили" много лучше, чем "мы нашли ошибку и орем"

    Орут они потому, что разработчики VLC не заинтересованы в исправлении ошибок.

     
     
  • 5.82, thresh (??), 11:46, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >> Помоему пиар "Мы нашли ошибку и исправили" много лучше, чем "мы нашли ошибку и орем"
    > Орут они потому, что разработчики VLC не заинтересованы в исправлении ошибок.

    Это не правда.

     
  • 2.19, Аноним (-), 13:44, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Раз они такие спецы в этой секунии, взяли бы и пофиксили, это же опенсорс

    Как бы они пофиксили? Форкнули VLC?

     
     
  • 3.26, Аноним (-), 14:39, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Как бы они пофиксили? Форкнули VLC?

    man patch

     
     
  • 4.27, Аноним (-), 14:41, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В апстриме VLC в таких патчах не заинтересованы.
     
     
  • 5.30, Аноним (-), 14:54, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В апстриме VLC в таких патчах не заинтересованы.

    Да ну... "Лень править" и "принципиально не принимаем" - разные вещи.

     
     
  • 6.40, Аноним (-), 16:07, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да ну... "Лень править" и "принципиально не принимаем" - разные вещи.

    Обычно принять сложнее, чем поправить самому.

     
     
  • 7.45, souryogurt (ok), 18:38, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почему?
     
     
  • 8.51, Lain_13 (ok), 19:12, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В обоих случаях нужно понять проблему и способ её решения, но в случае чужого ко... текст свёрнут, показать
     
     
  • 9.65, Аноним (-), 02:22, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А вы уверены, что тот человек, которы писал проблемыый код, щас вообще уделяет ... текст свёрнут, показать
     
     
  • 10.68, Lain_13 (ok), 03:26, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Чей код был сначала не суть важно Когда сам исправляешь сам же и понимаешь что ... большой текст свёрнут, показать
     
     
  • 11.97, souryogurt (ok), 21:28, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну ей богу принятие патча этож не единовременная процедура Если код непонятен ... текст свёрнут, показать
     
     
  • 12.98, Lain_13 (ok), 21:59, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё это хорошо и удобно при добавлении новой функциональности в приложение или о... большой текст свёрнут, показать
     
  • 9.93, souryogurt (ok), 21:12, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разве к прилагающемуся патчу, обычно не добавляют описание того, в чем заключает... текст свёрнут, показать
     
     
  • 10.96, arisu (ok), 21:26, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это только кажется а на деле 8212 всё равно надо разобраться, откуда именно ... текст свёрнут, показать
     
  • 8.57, Аноним (-), 00:46, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что прочитать и _понять_ чужой код обычно сложнее, чем придумать и написа... текст свёрнут, показать
     
     
  • 9.94, souryogurt (ok), 21:16, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Большинство нормальных программистов, присылающих вам исправления, будут придерж... текст свёрнут, показать
     
  • 4.56, Michael Shigorin (ok), 23:34, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Как бы они пофиксили? Форкнули VLC?
    > man patch

    Вопрос был о процедуре исправления, а не о процедуре выделения разницы (man diff) и наложения результата получателем (вот тут man patch, если не сразу man git-am).

     
  • 2.48, Lain_13 (ok), 19:09, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Раз они такие спецы в этой секунии, взяли бы и пофиксили, это
    > же опенсорс,  нет, они предпочитают вопить и самопиариться

    Знаешь, для начала нужно найти на какой участок кода мапится бинарный код, который допускает лажу. Потом изучить чужой код, потом исправить, потом пропихнуть в апстрим… нереальная куча лишней головной боли. Найти хитрый способ скрашить чужое приложение само по-себе достаточно сложно, чтоб ещё и исправлять потом чужие косяки. Они просто тычут всех носом в их собственные фекалии и заставляют убирать за собой. Очень правильный подход, я считаю.

     
     
  • 3.62, Алексей (??), 01:18, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Раз они такие спецы в этой секунии, взяли бы и пофиксили, это
    >> же опенсорс,  нет, они предпочитают вопить и самопиариться
    > Знаешь, для начала нужно найти на какой участок кода мапится бинарный код,
    > который допускает лажу. Потом изучить чужой код, потом исправить, потом пропихнуть
    > в апстрим… нереальная куча лишней головной боли. Найти хитрый способ скрашить
    > чужое приложение само по-себе достаточно сложно, чтоб ещё и исправлять потом
    > чужие косяки. Они просто тычут всех носом в их собственные фекалии
    > и заставляют убирать за собой. Очень правильный подход, я считаю.

    это не та сфера, где приложение сложно скрашить :)
    там одних либ линкуется столько (и из таких источников), что бинарь запустить уже радость, не то что файл открыть.

     
     
  • 4.63, Lain_13 (ok), 01:44, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это не та сфера, где приложение сложно скрашить :)
    > там одних либ линкуется столько (и из таких источников), что бинарь запустить
    > уже радость, не то что файл открыть.

    Скрашить в принципе может любой дурак с некоторым опытом фаззинга. Было бы желание и время. А вот суметь использовать найденный баг уже проблема. Причём иногда крайне нетривиальная проблема.
    Они же и это сделали.

     
     
  • 5.70, Алексей (??), 05:08, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот если бы они нашли способ поиметь пользователя без его участия - было бы интересно. а это нужно либо удаленное что-то (а vlc без специальных действий не начнет сеть слушать), либо плагин в браузере, либо софт должен быть сверхмассовый (как винда).

    никто же не отрицает факт наличия ошибки в коде. однако опасность пока что - потенциальная, а затраты сил и времени предлагается понести вполне себе реальные. причем денег вроде как secunia авторам не предлагали, либо по цене не сошлись, либо вообще все было затеяно ради инфоповода (а сейчас уже внимание публики привлечено и show must go on).

     
     
  • 6.76, Lain_13 (ok), 07:04, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то если ты не забыл эксплоит найден в коде обработки видео-контейнера. Фактически тут нужен самый минимум действий со стороны пользователя.
    Как поиметь пользователя? Причём много сразу? Да элементарно. VLC до сих пор довольно популярный плеер и не стоит сбрасывать его со счетов. Берём какую-нибудь новинку кино, модифицируем контейнер соответствующим образом засунув туда эксплоит и нужный нам код, и выкладываем это счастье на все трекеры страны. Пользователи других плееров возможно даже не заметят подставы — у них плеер только лишь тихо выматерится и проскипает «битое» место выдав немного артефактов на экране, а может и вовсе замолчит, а вот все пользователи VLC получат подарочек. При правильном подходе можно даже заглушить ошибку и восстановить воспроизведение, чтоб они вообще не заметили, что их поимели. Одного раза мало? Берём ещё какую-нибудь новинку голливудских испражнений и так пока не надоест.

    Одну только версию 2.0.5 под винду скачали ~45 000 000 раз. Если предположить, что нам достанется 5-10% из них, то это уже весьма недурственный ботнет, а если учесть, как пользователи винды из кожи вон лезут обновляться, то пользователей у VLC может быть даже в несколько раз больше, а уязвимые версии будут ещё использовать и использовать. Особенно если никто достаточно долго не будет замечать происходящего и удастся тихо заразить как можно больше машин.

     
  • 6.86, Аноним (-), 13:13, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > вот если бы они нашли способ поиметь пользователя без его участия -

    Ну как бы открыл мувик - тыдыщ! Поимели. Участие, конечно, требуется, но - минимальное. А чего такого криминального в том чтобы открыть мувик? Никто не ожидает в этот момент какой-либо подставы :)

     

  • 1.20, Аноним (-), 13:45, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > заявлена разработчиками VLC как неэксплуатируемая и приводящая только к краху приложения, поэтому они не считают проблему уязвимостью

    Прямо как разработчики Debian. Подумаешь, локальный рут.

     
     
  • 2.36, Аноним (-), 15:23, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Бредишь?
     

  • 1.28, Аноним (-), 14:49, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > сути осталась неисправленной. Что касается проблем в сторонних библиотеках, то сборки
    > VLC поставляются статически связанными с уязвимой версией libav, что делает весь
    > продукт уязвимым, независимо от того в чём коде имеется ошибка.

    То есть подвержена только бинарная сборка с офсайта? В дистрибутивах своя линковка.

     
     
  • 2.44, Аноним (-), 17:39, 10/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > То есть подвержена только бинарная сборка с офсайта? В дистрибутивах своя линковка.

    А ты думаешь, что все эти страсти - вокруг линуксовой версии?

     

  • 1.37, Аноним_тот_же (?), 15:34, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > VLC 2.0.7

    В openSUSE нет такой версии, интересно чего бы это значило. Серверам из top500 VLC не нужен?

     
     
  • 2.71, Алексей (??), 05:14, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> VLC 2.0.7
    > В openSUSE нет такой версии, интересно чего бы это значило. Серверам из
    > top500 VLC не нужен?

    да просто нумерация не соответствует апстриму, бывает

     

  • 1.52, Аноним (-), 19:18, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Напоминает анекдот про хакера и солонку.
     
     
  • 2.58, Аноним (-), 00:46, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Напоминает анекдот про хакера и солонку.

    Который из?

     
  • 2.87, Аноним (-), 13:14, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Напоминает анекдот про хакера и солонку.

    Проблема только в том что качнули вы где-то "замечательный клип" а оказывается хакер у вас уже все солонки то и упер как раз :).

     

  • 1.54, lucentcode (ok), 20:26, 10/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Печально. Вместо того, что-бы отмазки придумывать, лучше бы разработчики VLC пофиксили данные уязвимости.
     
     
  • 2.83, thresh (??), 11:49, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Печально. Вместо того, что-бы отмазки придумывать, лучше бы разработчики VLC пофиксили
    > данные уязвимости.

    эти т.н. "уязвимости" исправлены, не стоит верить т.н. "секьюрити фирмам" типа secunia.

     
     
  • 3.88, Аноним (-), 13:15, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > эти т.н. "уязвимости" исправлены, не стоит верить т.н. "секьюрити фирмам" типа secunia.

    Вообще-то secunia достаточно неплохо в своем ремесле шарит и за годы работы они зарекомендовали себя вполне заслуживающим внимания ресурсом где публикуются вполне себе уязвимости.


     
     
  • 4.89, thresh (??), 13:35, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Вообще-то secunia достаточно неплохо в своем ремесле шарит и за годы работы они зарекомендовали себя вполне заслуживающим внимания ресурсом где публикуются вполне себе уязвимости.

    Есть и другия мнения на этот счет.

     
     
  • 5.90, Michael Shigorin (ok), 14:01, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вообще-то secunia достаточно неплохо в своем ремесле шарит
    > Есть и другия мнения на этот счет.

    Костик, лучше всё-таки избегать чрезмерных обобщений -- насколько понимаю (хотя это крайне поверхностно, скорее всего), в данном разе могло получиться так, что они недостаточно разборчиво вписались за недостаточно грамотного исследователя.

    Надеюсь, ситуация будет сколь-нибудь обстоятельно разобрана и участники сделают выводы.

    DISCLAIMER: в представленные доказательства не вникал, не моя предметная область.

     
     
  • 6.92, thresh (??), 15:27, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>> Вообще-то secunia достаточно неплохо в своем ремесле шарит
    >> Есть и другия мнения на этот счет.
    > Костик, лучше всё-таки избегать чрезмерных обобщений -- насколько понимаю (хотя это крайне
    > поверхностно, скорее всего), в данном разе могло получиться так, что они
    > недостаточно разборчиво вписались за недостаточно грамотного исследователя.
    > Надеюсь, ситуация будет сколь-нибудь обстоятельно разобрана и участники сделают выводы.

    Secunia последовательно в течение нескольких месяцев подтверждает свою некомпетентность, лично для меня выводы очевидны...

    Да, все могло быть гораздо лучше, если бы они шли навстречу и делали то, что обещали (например, высылать PoC и эксплоиты), а не врали.

    С другими security-компаниями у нас проблем нет.

     
     
  • 7.105, Евгений (??), 23:17, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, судя по блогу Жана Батиста, Секуниа еще и задним числом меняла свои advisories.

     
  • 5.103, Аноним (-), 22:10, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть и другия мнения на этот счет.

    Мнения фанатов vlc не в счет.

     
     
  • 6.108, Michael Shigorin (ok), 18:50, 12/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Есть и другия мнения на этот счет.
    > Мнения фанатов vlc не в счет.

    Фанатам ляпнуть-что-нибудь: thresh@ -- один из разработчиков VLC.

     
     
  • 7.109, Crazy Alex (ok), 02:16, 13/07/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так и описал бы внятно ситуацию
     
  • 7.110, arisu (ok), 03:56, 13/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > thresh@ — один из разработчиков VLC.

    зачем дискутировать с теми, кто этого не понял?

     

  • 1.80, Аноним (-), 11:25, 11/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    vlc я в своей жизнм видел только у виндусоидов. На божественном  жму/линуксе пользователи могут использовать удобнейший mplayer. Так что проблема не коснется нормальных пользователей.
     
     
  • 2.106, Евгений (??), 23:29, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > vlc я в своей жизнм видел только у виндусоидов. На божественном  
    > жму/линуксе пользователи могут использовать удобнейший mplayer. Так что проблема не коснется
    > нормальных пользователей.

    Удобнейший mplayer также замечательно работает на Виндоусе. Вместе с vlc  они наверное самые лучшие и неприхотливые плееры на Венде.

    Теперь вне Виндоуса: mplayer vs. vlc, оба они почти одинаково замечательны. По ресурсам mplayer чуть-чуть на пару % может быть более эффективней. vlc однако имеет родные front-end на любой вкус и цвет с массой возможности для регулировки on the fly, напр. aspect ratio. vlc напрямую может играть youtube, умеет, в отличие от mplayer'а мотать (искать в) роллик(е).  И т.п.

     

  • 1.91, zburguy (ok), 15:22, 11/07/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чего фыркать, ну исправили и забыли. Я так понимаю кроме уязвимости они и патчи предложили или нет?
     
     
  • 2.104, Аноним (-), 22:11, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Чего фыркать, ну исправили и забыли.

    Дык разработчики VLC не хотят исправлять.

     
     
  • 3.107, Евгений (??), 23:31, 11/07/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Чего фыркать, ну исправили и забыли.
    > Дык разработчики VLC не хотят исправлять.

    Все они исправили, читайте ссылки. СЫкуния просто сама не знает, что хочет.  

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру