"FFmpeg 4xm Processing Memory Corruption Vulnerability (http://secunia.com/advisories/33711/)" - в библиотеке FFmpeg (http://ffmpeg.mplayerhq.hu/) найдена уязвимость, позволяющая организовать выполнение кода злоумышленника при обработке в приложениях использующих FFmpeg специальным образом модифицированного файла в формате 4xm (http://www.pcisys.net/~melanson/codecs/). Проблема устранена (http://svn.mplayerhq.hu/ffmpeg?view=rev&revision=16846) в SVN репозитории проекта.URL: http://secunia.com/advisories/33711/
Новость: http://www.opennet.me/opennews/art.shtml?num=20040
============
2009/01/27 - FFmpeg maintainers notified
2009/01/27 - Patch developed by FFmpeg maintainers
============
А слабо так с проприетарщиками? :D
Нет
>НетЧестно говоря, имеючи опыт общения с массой прприетарных шараг не знаю ни одной где бы сообщили о баге и клиент мог в тот же день через несколько часов получить исправленную версию.С ffmpeg'ом получить исправленную версию уже можно.Если ждать влом а прижало - чекаутом сорцев тупо.
Ну дык, уникальнось вашего личного опыта в том, что применим он только по отношению к вам.
>по отношению к вам.Ну так может вы назовете проприетарщиков которые за примерно 2 часа (если верить ссылке) поправиди такой баг и кастомеры которых прижало могли получить фикс на проблему?
Обычно с проприетарщиками эти 2 часа только будешь пинаться доказывая саппорту что не верблюд.Спасибо если не 2 дня.Или не 2 недели.Хотя может и другие бывают конечно.Так вы не стесняйтесь: имена таких героев - в студию.
Хвастаться нужно качеством продукта, а не моделью разработки. Позерством заниматься? Это удел опенсорсников, т.к. есть все к тому предпосылки.
>Хвастаться нужно качеством продукта, а не моделью разработки. Позерством заниматься? Это удел
>опенсорсников, т.к. есть все к тому предпосылки.Улыбнуло :)) Что клепаешь в своей проприетарской конторе?
Софт для фин.анализа дейтельности группы предприятий
>Хвастаться нужно качеством продукта, а не моделью разработки.Понт секурити для любого крупного проекта плохо кончается.
> Позерством заниматься?
А я никак не отношусь к проекту ffmpeg (кроме разве что обнаружения в нем в свое время пары багов отрапортованных им).Так что заявы про позерство - мимо тазика.Я всего лишь констатировал факт.А если кому-то из проприетарщиков факты не нравятся - на вас стенок хватит.Можете уже убиваться с разбега с досады, я не возражаю.И кстати да, в моем понимании починка критичной проблемы за два часа и возможность через эти два часа получить исправленную версию а через три ее использовать - это тоже вид качества.Оперативность реакции на проблемы - это замечательное качество.
>Это удел опенсорсников, т.к. есть все к тому предпосылки.
У опенсорсников кроме растопыривания пальцев есть и ряд весьма приятных моментов.С опенсорцными проектами как правило иметь дело намного приятнее вообще - их цели не сводятся к только выжимке денег из клиента любыми методами.
>Обычно с проприетарщиками эти 2 часа только будешь пинаться доказывая саппорту что не верблюд.Спасибо если не 2 дня.Или не 2 недели.Хотя может и другие бывают конечно.Аналогично - можно вспомнить пиджиновцев, или известный баг с page-writeback в линукс-ядре
>Аналогично - можно вспомнить пиджиновцев, или известный баг с page-writeback в линукс-ядреС опенсорц проектами такое все-таки скорее исключение чем правило.А вот по части проприетарщины - можно вспомнить и дыры на которые микрософт клал после репорта многими месяцами если не годами до тех пор пока хакеры не начинали массово иметь юзеров.Ну а тогда ессно впопыхах клепается патч, когда юзеры начинают материться на вирье.
На назовет он, не надейтесь. Ибо не знает. Но защищать проприетарщину будет до последней капли крови потому что сам в быдлоконторе работает и некачественный дырявый софт - его хлеб и соль. Проходили.
>На назовет он, не надейтесь. Ибо не знает. Но защищать проприетарщину будет
>до последней капли крови потому что сам в быдлоконторе работает и
>некачественный дырявый софт - его хлеб и соль. Проходили.хамлу не назову, да
>Ну дык, уникальнось вашего личного опыта в том, что применим он только
>по отношению к вам.Как минимум ко мне и моей конторе as well. От проприетарных решений ничего никогда не дождешься, за исключением мелких конторишек у которых каждый клиент на щету.
>От проприетарных решений ничего никогда не дождешься, за исключением мелких конторишек у которых каждый клиент на щетуСовершенно аналогичная ситуация с опенсорсными конторами (вспоминаем эпический баг ff2 с русской раскладкой)
>>От проприетарных решений ничего никогда не дождешься, за исключением мелких конторишек у которых каждый клиент на щету
>
>Совершенно аналогичная ситуация с опенсорсными конторами (вспоминаем эпический баг ff2 с русской
>раскладкой)Попробуйте с помощью этого "бага" выполнить свой код :)
>Попробуйте с помощью этого "бага" выполнить свой код :)Я это привел в качестве примера "очевидных преимуществ" opensource (которых на самом деле нет, если никто кроме разработчиков в коде не разбирается и не хочет). А если в плане безопасности - можно взять для примера всем известный марафон по скачиванию дырявого ff3.
Это был баг Gtk! Да и его многие просто не замечали, не все же русские. А кто змечал - ничего не говорили. Вот сказали бы - пофиксили бы быстрее.