Проект VideoLAN отметил десятилетие критической уязвимостью

01.02.2011 22:37

Проект VideoLAN празднует десятилетие своего существования как свободного проекта. 1 февраля 2001 года все ранее разработанные приложения VideoLAN были открыты под лицензией GPL. Первый из проектов VideoLAN основан в 1996 году и являлся студенческой работой, направленной на обеспечение передачи видео по низкоскоростной локальной сети университетского кампуса. Два года спустя проект был полностью переписан, в результате чего был рожден медиаплеер VLC. Так как проект был студенческий, все права на него формально принадлежали университету, но благодаря поддержке нескольких профессоров в 2001 году удалось получить официальное разрешение на смену лицензии на GPL.

К сожалению, праздник был омрачен обнаружением в коде медиаплеера VLC неприятной уязвимости, по неприятному стечению обстоятельств найденную в сочетании с невозможностью выпустить исправляющий ее релиз из-за блокирования публикации новых выпусков, в связи со взломом хостинга SourceForge.net. Уязвимость найдена в коде демуксера популярных медиа-контейнеров MKV (Matroska) и WebM. Из-за отсутствия должных проверок содержимого макроса "MKV_IS_ID", при открытии специально оформленного MKV-файла на машине пользователя может быть запущен код злоумышленника. Исправление ожидается в релизе VLC 1.1.7, который выйдет сразу после нормализации работы SourceForge.net. Патч можно загрузить здесь.

исправить +14 +/–

Главная ссылка к новости (http://www.videolan.org/...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/29458-vlc

Ключевые слова: vlc, videolan, secruity

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.1, NGAGE13 (ok), 22:57, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Поздравляем VideoLan!! в ubuntu natty обновление 1.1.7 сегодня уже пришло!

1.2, Аноним (-), 23:05, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Новость ещё омрачена и этим: VLC 1.1.7 blacklists the KDE GUI platform for Qt http://mailman.videolan.org/pipermail/vlc-devel/2011-January/078770.html

2.3, анон (?), 23:15, 01/02/2011 [^] [^^] [^^^] [ответить]	–1 +/–
> Новость ещё омрачена и этим: > VLC 1.1.7 blacklists the KDE GUI platform for Qt > http://mailman.videolan.org/pipermail/vlc-devel/2011-January/078770.html кде такое кде(

3.5, Аноним (-), 23:28, 01/02/2011 [^] [^^] [^^^] [ответить]	+/–
проблема в куте, а не в кде

4.18, anonymous (??), 11:24, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
> проблема в куте, а не в кде а почему у меня без кде работает? проблема в кде.

5.19, Аноним (-), 19:54, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
Потому, что не используется KDE GUI, в котором возникла проблемма из-за куте.

6.20, anonymous (??), 19:59, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
> Потому, что не используется KDE GUI, в котором возникла проблемма из-за куте. а я что сказал? проблема в KDE.

7.23, Аноним (-), 22:09, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
Но виновник проблемы - куте.

8.24, anonymous (??), 02:47, 03/02/2011 [^] [^^] [^^^] [ответить]	+/–
поскольку без KDE всё работает, то виновник 8212 KDE собственно, KDE и есть ... текст свёрнут, показать

1.4, paulus (ok), 23:22, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Поздравляю пользователей VLC! Но у меня он жутко выглядит во fluxbox и кушает в три раз больше чем mplayer даже в связке с gnome-mplayer.

1.6, анонимм (?), 23:36, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Ухахах.
Автор заголовка порадовал.

> в сочетании с невозможностью выпустить исправляющий ее релиз

А в ночнушках разве уязвимость не закрыта?

1.7, Аноним (-), 23:57, 01/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
подскажите, как может быть выполнен код злоумышленника? технически как это выглядит? ведь vlc же не выполняет видеопоток, а читает и только.

2.8, буфер (?), 00:16, 02/02/2011 [^] [^^] [^^^] [ответить]

+2 +/–

> подскажите, как может быть выполнен код злоумышленника?

переполнение, передача управления

> vlc же не выполняет видеопоток, а читает и только

iexplorer, например, тоже "всего лишь читает html"

3.9, Аноним (-), 00:34, 02/02/2011 [^] [^^] [^^^] [ответить]	–1 +/–
> переполнение, передача управления подробнее, плиз. буфер заполняется, переполняется, как после этого переходит передача управления к данным в mkv?

4.10, Гентушник (ok), 00:42, 02/02/2011 [^] [^^] [^^^] [ответить]	+1 +/–
http://www.google.ru/search?q=buffer+overflow

4.11, Аноним (-), 00:47, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
> подробнее, плиз. буфер заполняется, переполняется, как после этого переходит передача > управления к данным в mkv? http://www.opennet.me/base/sec/remote_exploit.txt.html http://www.opennet.me/base/sec/heap_overflow.txt.html

1.13, stirn (?), 01:10, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Поздравляю! Прям в один день с MSK-IX. У них сегодня тоже десятилетие.

1.14, yantux (??), 01:29, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я знаю зачем ломанули sf!

2.15, Аноним (-), 08:38, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
> Я знаю зачем ломанули sf! поправить? =)

2.17, Аноним (-), 10:20, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
http://www.opennet.me/openforum/vsluhforumID3/74368.html#2

1.16, Vitaliy (??), 09:22, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Исправление ожидается в релизе VLC 1.1.7, который выйдет сразу после нормализации работы SourceForge.net. Патч можно загрузить здесь. Новая версия лежит на http://download.videolan.org/pub/videolan/vlc/1.1.7/ ещё с 31 января.

1.21, User294 (ok), 20:17, 02/02/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Заголовок новости жжот напалмом! Но все-таки: троллить прямо в заголовке - это слегка перебор, никому так не кажется? :)

2.22, anonymous (??), 20:21, 02/02/2011 [^] [^^] [^^^] [ответить]	+/–
> Заголовок новости жжот напалмом! Но все-таки: троллить прямо в заголовке — это > слегка перебор, никому так не кажется? :) ни разу, годный заголовок. прямо рядом с «маршрутизаторами Solaris».

игнорирование участников | лог модерирования

Добавить комментарий

Текст: