The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в реализации JPEG XL из состава FFmpeg

30.01.2024 14:35

Раскрыты сведения о двух уязвимостях в поставляемом в пакете FFmpeg декодировщике формата JPEG XL, которые могут привести к выполнению кода злоумышленника при обработке в FFmpeg специально оформленных изображений. Проблемы были устранены в выпуске FFmpeg 6.1, но так как поддержка JPEG XL включена начиная с ветки 6.1, уязвимость затрагивает только системы, использующие экспериментальные сборки FFmpeg 6.1 или переносящие из них изменения.

Первая уязвимость (CVE-2024-22860) вызвана целочисленным переполнением в парсере формата JPEG XL, возникшем из-за отсутствия проверки превышения размера типа int. Вторая уязвимость (CVE-2024-22862) возникла из-за целочисленного переполнения в функции jpegxl_anim_read_packet, используемой для декодирования анимации, и связана с использованием знакового типа int64_t вместо беззнакового uint64_t. Проблемы специфичны для FFmpeg и не проявляются в эталонной реализации libjxl.

  1. Главная ссылка к новости (https://nvd.nist.gov/vuln/deta...)
  2. OpenNews: Уязвимость в FFmpeg, позволяющая выполнить код при обработке mp4-файлов
  3. OpenNews: Google упраздняет поддержку JPEG XL в Chrome
  4. OpenNews: Samsung обеспечил поддержку формата изображений JPEG XL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60521-jpegxl
Ключевые слова: jpegxl, ffmpeg
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (102) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:44, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот тебе и JPEG XL!
     
     
  • 2.3, Аноним (3), 14:54, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –20 +/
    FFmpeg днище, это ни для кого не секрет. У него все собственные парсеры и муксеры/демуксеры максимально кривые. Недавно вон вообще учудили и сломали поддержку вполне валидных mp4 в очередной раз, на этот раз во всех ветках сразу.
     
     
  • 3.12, Аноним (12), 15:17, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Днище не днище, а у многих пакетов в зависимостях. Без него многое не соберется.
     
     
  • 4.15, Аноним (3), 15:30, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это самое страшное. И популярная альтернатива в лице VLC ещё хуже. Ну, есть полноценная альтернатива в виде gstreamer в некотором роде, но у него свои проблемы, хотя ничего ужасного кроме багов с vaapi не припомню. Разве что, в wine он почему-то не может прочитать mp4 файлы с avc+aac (судя по логам), но тут уже вопросы к wine, сам gstreamer такие файлы воспроизводит.
     
     
  • 5.24, Аноним (24), 15:50, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В отличие от тебя VLC и FFmpeg
     
     
  • 6.28, Аноним (3), 16:02, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В отличие от тебя VLC и FFmpeg

    Они что? Не заботятся о работе или хотя бы соответствии спецификациям, положили на пользователей? Да, всё так. Я понимаю, что авторы сами не рады популярности, но другого опенсорса у нас нет, могли бы уже не действовать "на отвали". Какой-никакой опыт можно было уже приобрести за это время. Вместо этого тратят ресурсы на срачи и драмы.

     
     
  • 7.73, Аноним (-), 23:14, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> В отличие от тебя VLC и FFmpeg
    > Они что? Не заботятся о работе или хотя бы соответствии спецификациям, положили
    > на пользователей? Да, всё так.

    В соответствии с этими спеками в "так называемом MP4" может быть все что угодно. FYI все остальные программы и либы жрут еще меньше комбо "чего угодно" под таким соусом. Сюрприз!

    > не действовать "на отвали". Какой-никакой опыт можно было уже приобрести за
    > это время. Вместо этого тратят ресурсы на срачи и драмы.

    Вы в своем праве писать программы сами - и показать этим господам мастеркласс, написав либу лучше. Мы даже может быть ей пользоваться будем - если конечно у вас это получится. А если вы так не готовы - тады пишите в спортлото!

     
  • 5.68, Аноним (68), 22:40, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Как в анекдоте: "стратегию я вам рассказала, а дальше вы как-нибудь сами"
     
  • 5.70, Аноним (-), 23:04, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А самое забавное - что vlc как раз таки и сам пользуется ffmpeg овскими либами ч... большой текст свёрнут, показать
     
     
  • 6.74, Аноним (3), 23:22, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >сам пользуется

    Это опциональная зависимость. Кто им только не пользуется, но важен результат. Gpac вот пользуется, но у него почему-то валидные файлы, соответствующие спецификациям на выходе. Прочитать файлы правда так и не смог с багованным ffmpeg, в отличие от vlc и gstremer.

    >кусок глюкала с кучей проблем

    Каких, например?

    >чтобы это знать надо попытаться писать программ

    Я пишу программы и обрабатываю файлы на нескольких весьма разных платформах (в том числе с аппаратным ускорением), когда должен начать знать? Про тысячи недоработок и откровенных багов (многие из которых упорно отказываются исправлять) ffmpeg я вот хорошо знаю.

    >в их сорцы заглядывать

    Ты сейчас конечно же покажешь, куда посмотреть. Я вот не использовал gstreamer в своём коде, очень интересно.

     
     
  • 7.78, Аноним (-), 00:06, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Он настолько опциональный - что я ни разу в жизни VLC без ffmpeg ской либы не ви... большой текст свёрнут, показать
     
     
  • 8.84, Аноним (84), 02:05, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это одна из немногих прог, умеющая mpeg4 BIFS которого нигде нету BIFS - это ... текст свёрнут, показать
     
     
  • 9.90, Аноним (-), 03:28, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В этом мире много странной фигни Скажем у меня как-то был webm с VP10 А, что... большой текст свёрнут, показать
     
  • 3.69, Аноним (-), 22:58, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > FFmpeg днище, это ни для кого не секрет. У него все собственные парсеры и
    > муксеры/демуксеры максимально кривые. Недавно вон вообще учудили и сломали
    > поддержку вполне валидных mp4 в очередной раз, на этот раз во всех ветках сразу.

    Критикуя - предлагай. Покажи мне универсальный либ лучше, жрущий столько же форматов. А, что, его нет?! Ну тогда господа соревнуются только с секундной стрелкой и не могут быть плохими или хорошими - сравнимого референса относительно которого можно быть лучше или хуже вообще нет.

    А "вполне валидный mp4" очень растяжимое понятие. MP4 это лишь контейнер и там можно что угодно сделать. Сколько софта вот прям ща сможет проиграть "MP4" где в ISO BMFF файле по факту AV1 какой-нибудь? А так то - валидный файл, ISO это даже стандартизировал недавно.

     
     
  • 4.72, Аноним (3), 23:08, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А зачем? Gstreamer поддерживает все адекватные форматы контейнеров и кодеков. Толку от кривого mp4, если он не соответствует никаким спецификациям? Av1 в mp4, кстати, соответствует. Вот vp9 в mp4 уже нет. Да и зачем тебе такие битые файлы? Ты же понимаешь, что кривые нестандартные файлы в принципе существуют только из-за ffmpeg, разрабам которого плевать на валидность?
     
     
  • 5.75, Аноним (-), 23:31, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он поддерживает в разы менее форматов и вообще - кривая глючная байда под узкие ... большой текст свёрнут, показать
     
  • 4.115, Аноним (115), 18:05, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Кто тебе такое придумал? Критиковать это в первую очередь дать толчок подумать а не раскрыть тебе все карты. Да и цель уничтожить никто не отменял так что живи с этим
     
  • 3.94, Аноним (94), 07:01, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > FFmpeg днище, это ни для кого не секрет.

    напиши своё, покажи класс.
    чтобы все видели, как у тебя всё работает без малейшей погрешности и с той же эффективностью.

    пока что ты только строчишь спам-комменты на опеннете.
    это как бы показатель.

     
  • 3.118, Аноним (118), 05:55, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это днище Голливуд использует
     
     
  • 4.123, Аноним (3), 10:27, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Маловероятно. Исчезающе маловероятно. Или ты про куски в продуктах адобы? Да, они вполне понимают, в каких местах ffmpeg днище и умеют экономить.
     
  • 2.13, Аноним (13), 15:21, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот тебе и JPEG XL!

    При чем здесь JPEG XL? Сишочники где угодно int переполнят и за буфер вылезут.

     
     
  • 3.41, Аноним (41), 16:43, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дак а нафига ты юзаешь этот дырявый ffmpeg? Напиши свой на безопасном языке или юзай готовый, если не способен написать свой ffmpeg без единой ошибки
     
     
  • 4.53, Аноним (13), 17:35, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дак а нафига ты юзаешь этот дырявый ffmpeg? Напиши свой на безопасном языке или юзай готовый, если не способен написать свой ffmpeg без единой ошибки

    Каким образом твои умничния относятся к моему вопросу?

     
     
  • 5.54, Аноним (41), 17:40, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Таким образом, что ffmpeg и jpegXL - это чистое байтодрочерство, где Си - идеальный выбор. Со своими борроу чекерами и прочей чепухой иди в... в веб разработку.
     
     
  • 6.60, Аноним (-), 18:11, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Си - идеальный выбор.

    Ахаха! И как два байта отослать они вышли за пределы массива и выполнили чужой код)))
    Сишники даже байтодрочерство не могут сделать нормально!

     
     
  • 7.62, Аноним (41), 18:29, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фигня это все. Несмотря на эту ошибку, они смогли написать целый ffmpeg. А растаманы даже компилятор свой не написали и собирают весь свой код компилятором написанном на С++.
     
     
  • 8.65, Аноним (65), 19:20, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот опять - тебе пишут про си, а ты на раст съезжаешь Зачем так Так на прекрас... текст свёрнут, показать
     
     
  • 9.76, Аноним (-), 23:36, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вы же не написали на чем угодно аналог ffmpeg, так что он по своему прав А... текст свёрнут, показать
     
  • 6.67, Аноним (13), 22:00, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Таким образом, что ffmpeg и jpegXL - это чистое байтодрочерство, где Си - идеальный выбор. Со своими борроу чекерами и прочей чепухой иди в... в веб разработку.

    Чел, с тобой все хорошо? С какими "моими" борроу чекерами, если я о Расте даже не упоминал?

     
  • 3.59, Бывалый смузихлёб (?), 18:06, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > при обработке в FFmpeg специально оформленных изображений
    > возникшем из-за отсутствия проверки превышения размера типа int

    Это на чём угодно может произойти

     
     
  • 4.77, Аноним (-), 23:38, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> при обработке в FFmpeg специально оформленных изображений
    >> возникшем из-за отсутствия проверки превышения размера типа int
    > Это на чём угодно может произойти

    Даже на хрусте в релизных билдах, что забавно. Ибо рантайм чек этого добра - очень накладное занятие. А насколько все хотели тормозные кодеки - э, а чего они тогда вопят что AV1/265/266 кодировать тормозно? Не хотите еще разика в три это дело обвалить по скорости? :)

     
  • 3.95, Аноним (94), 07:14, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сишочники где угодно int переполнят и за буфер вылезут.

    удали всё, что написано на сях.  полностью всё.
    и микросхему с биосом от платы отковыряй.
    и все остальные, в которых есть прошивки.
    и процессор вытащи.
    и выкинь.
    потому как в этом всём до сих пор без сей не обходится.

    и жди пока всё перепишут на расте.  включая софт для микросхемной литографии.
    в оффлайне жди.
    потому что нет ни онлайна, ни системы, ни даже железа, работающих без кода, написанного на сях.

     
  • 2.104, Аноним (104), 09:50, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А чо вы хотели, там же полнота по Тьюрингу...
    Туда любую малварь при желании вместе с картинкой зашить можно
     

  • 1.8, Аноним (-), 15:06, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > использованием знакового типа int64_t вместо беззнакового uint64_t

    Но зачем?
    Что они хотели выиграть таким образом?
    Или опять в дыряшечном стиле через отрицательные значения прокидывают ошибки?

     
     
  • 2.11, Аноним (11), 15:16, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    тяжело без математики?! :-D
     
  • 2.14, Аноним (3), 15:24, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    После недавней истории с mp4 я окончательно убеждён, что ffmpeg занимаются совершенно неадекватные люди. Могут ли абсолютно невменяемые сумасшедшие (почитайте комментарии на багтрекере) писать качественный код?
     
     
  • 3.21, poop (?), 15:45, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ссылку
     
     
  • 4.25, Аноним (3), 15:51, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/yt-dlp/yt-dlp/issues/8641

    но насколько я понял всё серьёзнее и все ветки сломаны минорным обновлением, файлы битые и gpac не помог.

     
     
  • 5.66, Аноним (66), 20:08, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ffmpeg это не про качественный код, это про код, который умеет кучу всего [но с багами]. Прошу отнестись с пониманием, философски.
     
     
  • 6.71, Аноним (71), 23:05, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И заменить нечем?
     
     
  • 7.116, Аноним (66), 19:04, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Глобально - нет, местами - можно Понимаешь, ffmpeg - это большое дерево кода дл... большой текст свёрнут, показать
     
     
  • 8.126, Аноним (-), 11:14, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Однако ffmpeg имеет забойное преимущество перед вон теми на входе может быть лю... большой текст свёрнут, показать
     
  • 5.85, Аноним (85), 02:17, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кажется, ты ничего не понял А по твоей ссылке написано, что помог A workaro... большой текст свёрнут, показать
     
     
  • 6.92, Аноним (-), 03:56, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т е битые файлы выдал ютуб - а хомячок предъявил ффмпегу О времена, о нравы М... большой текст свёрнут, показать
     
  • 6.102, Аноним (3), 09:35, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну фантазируешь, видно. Файлы не битые. 20 лет было нормально собирать dash в файл, а тут стало не нормально. Ну прекрасно, что сказать.

    Какие незаменимые инструменты ffmpeg ты сейчас назовёшь? Явно не кривые фильтры и никчёмные деинтерлейсеры. Программный скалер? Так тоже цветовые пространства вечно портил, искажает картинку с кучей гличей.

     
     
  • 7.107, Аноним (-), 11:01, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Представляешь, чувак В онлайн сервисе владелец сервиса может в любой момент что... большой текст свёрнут, показать
     
  • 5.89, Аноньимъ (ok), 02:27, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > I am running openSUSE Tumbleweed on snapshot dated 20231121.

    Опенсуса в репах тащит особую сборку ffmpeg из которой вырезано всё с "патентными проблемами".

    Проиграть простое mp4 видео - проблема.
    Ставишь кодек циски ииии видео идёт рывками, рассинхрон со звуком, краши.

    Онлайн радио с aac потоком - проиграть невозможно.

    Так что я не знаю какое отношение баг по ссылке имеет к ffmpeg вообще.

     
     
  • 6.91, Аноним (-), 03:52, 31/01/2024 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
  • 6.106, Аноним (3), 10:17, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня самосборный ffmpeg, но это ровно тот же баг в ffmpeg. И по упоминаниям в обсуждении он же.
     
     
  • 7.108, Аноним (-), 11:49, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по обсуждению на гитхабе как я понимаю эту историю 1 Отгружаемый гуглей в... большой текст свёрнут, показать
     

  • 1.16, Аноним (16), 15:31, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Это теперь в новости попадают баги из нерелизных версий? Дожились.
     
     
  • 2.30, Bottle (?), 16:10, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По факту, на уязвимость обратили внимание. Не обратили бы - её эксплуатировали бы по полной. Уж лучше уязвимость видеть в новостях опеннета, чем на практике.
     
  • 2.31, Аноним (31), 16:14, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так NSA нужно же как-то продвигать использование безопастных языков со строго контролируемым централизованным репозиторием.
     
     
  • 3.45, Аноним (-), 16:50, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    О, новые теории заговора от поехавших!
    В безопастных языках, легко и непренужденно, разворачивается локальная репа.
    Зато типичных ошибок дырявых нету - на то язык и безопастный))
     
     
  • 4.87, Аноним (87), 02:21, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >от поехавших

    Ну что ты так, среди r/rust попадаются и нормальные люди. Наверное.

    NSA Recommends Rust as (One) Memory Safe Alternative to C/C++
    https://www.reddit.com/r/rust/comments/ysftwx/nsa_recommends_rust_as_one_memor

     
     
  • 5.119, Аноним (118), 05:59, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А я думал вы о SWoDL
     

  • 1.17, Аноним (-), 15:36, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    О, зашибись! Открыл картинку и твой комп похачили...

    Fixes: out of array access
    - if (size <= head_size + 4)
    + if (size <= head_size + 4 || size > INT_MAX - ctx->skip)

    Классический out-of-bounds...
    Никогда не научатся *facepalm*

     
     
  • 2.22, Аноним (22), 15:48, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не совсем, эту картинку надо открыть самим ффмпегом или софтом который его оборачивает.
    Может кто то и открывает картинки с VLC/mpv, но это не так чтобы гулял по интернетам а тут на тебе сюрприз.
     
     
  • 3.26, Аноним (-), 15:57, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема что in general ты не знаешь кто юзает FFmpeg. Потому что его юзает куча софта((
    Т.е. можно заморочиться и вывести все зависимости, но кто-то может тащить свою версию с собой... и вообще оно не стоит траты времени.
     
     
  • 4.79, Аноним (-), 00:32, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но с практической точки зрения - сколько народа вот именно ffmpeg ом что-то дела... большой текст свёрнут, показать
     
  • 3.120, Аноним (118), 06:01, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну залей на разные видеохостинги или банки картинок, проверь.
     
  • 2.36, Аноним (36), 16:23, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Спорим ты бы никогда не нашёл и не пофиксил? А так то легко быть умным, когда за тебя уже все нашли и патч написали.
     
  • 2.96, Аноним (96), 08:12, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Но в Раст-то тоже можно переполнить инт и выполнить код за пределами... oh wait...
     
     
  • 3.99, Аноним Ваноним (?), 09:12, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще не айти, но давно в лекции слышал, что на переполнения стоит трейт, где определяется поведение. А про выполнение не уверен, что возможно в safe коде
     
     
  • 4.109, Аноним (-), 12:12, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вообще не айти, но давно в лекции слышал, что на переполнения стоит
    > трейт, где определяется поведение. А про выполнение не уверен, что возможно
    > в safe коде

    Сперва поинтересуйся как работает процессор. Потом - подумай захочешь ли ты платить ТУ цену в интенсивной математике. Да, это именно тот случай - если чекать флаги проца после всех математических операций, вся математика обвалится буквально в разы. В случае с кодеками это критично - они состоят из математики чуть менее чем полностью. А на скорость кодирования современными кодеками и так народ плюется кислотой.

     

  • 1.27, Аноним (27), 15:59, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    В Firefox уже завезли, найс, Mozilla не может без дыр, так ещё с Осла поведено и пороблено.
     
     
  • 2.35, Аноним (3), 16:23, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В firefox бандлится проблемная 6 версия ffmpeg кстати. Но, как показали авторы ffmpeg, нумерация не значит ничего и все ветки можно сломать одинаково и одновременно. Возникает вопрос, зачем им вообще несколько веток в таком случае?
     

  • 1.29, Аноним (-), 16:10, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ошибки прям типи-кал СИ.
    Тут и int overflow, и out of array access, и как вишенка на т̶о̶р̶т̶е̶  куче - code execution.
    Впрочем, ничего нового, ничего удивительного. Всё также, как и 30 лет назад))
     
  • 1.32, Аноним (31), 16:16, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Подскажите аналог на Rust.
     
     
  • 2.39, Аноним (41), 16:38, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Его нету
     
  • 2.43, Аноним (-), 16:47, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Есть чистый раст github com/tirr-c/jxl-oxide
    Есть тоже чистый раст, но уже комбайн github com/etemesi254/zune-image, нужен zune-jpegxl
    Есть обертка либой docs rs/jpegxl-rs/latest/jpegxl_rs/ - на С++, но зато не дыряшка
    Достаточно?
     
     
  • 3.58, Другой Аноним (?), 18:04, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > но зато не дыряшка

    докажи

    И вообще вопрос таков, более конкретно: подскажите аналог *ffmpeg* на Rust.

     
  • 3.80, Аноним (-), 00:33, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть чистый раст github com/tirr-c/jxl-oxide
    > Есть тоже чистый раст, но уже комбайн github com/etemesi254/zune-image, нужен zune-jpegxl

    Это немного не аналог ffmpeg по возможностям и форматам. Ну так, мелочи какие.

     
     
  • 4.83, Аноним (-), 01:31, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это реализация декодировщике формата JPEG XL.
    Которой достаточно для - внезапно - декодирования JPEG XL, вместо того, чтобы тащить всю зловонную кучу ffmpeg.
    С каких это пор либы-комбаный стали чем-то хорошим?
     
     
  • 5.86, Аноним (87), 02:17, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >тащить всю зловонную кучу ffmpeg

    Уровень безумия этого нефанатика заценили?

     
  • 5.98, Аноним (-), 08:45, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы что Дописать остальную функциональность ffmpeg - это мягко говоря не моме... большой текст свёрнут, показать
     

  • 1.33, Аноним (33), 16:17, 30/01/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.34, Аноним (3), 16:19, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Битые mp4 это вообще ни в какие ворота. Я откатился с 6 (баг появился в версиях новее 6.0.1) из-за лишних проблем с fps_mode и слишком долгого процессинга (раз в 50 дольше и жрёт процессор) на 5.1.3, нужна именно версия 5.1.3 и её ещё отдельно патчить, чтобы вообще скомпилировалось.
     
  • 1.37, Аноним (37), 16:28, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Вторая уязвимость (CVE-2024-22862) возникла из-за целочисленного переполнения в функции jpegxl_anim_read_packet, используемой для декодирования анимации, и связана с использованием знакового типа int64_t вместо беззнакового uint64_t.

    Но чтобы буффер переполнить, нужна картинка на 8388608 тибибайт. Боюсь, что это больше, чем компьютер за всё свгё существование из пнета выкачивает. И больше, чем доступная оператива где-либо.

     
     
  • 2.40, Аноним (3), 16:38, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Sparse файл + ksm какой-нибудь, вполне осуществимо.
     
     
  • 3.49, Аноним (49), 17:04, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    KSM - это известная дыра. См. dedup est machina.
     
     
  • 4.110, Аноним (-), 12:14, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > KSM - это известная дыра. См. dedup est machina.

    "Ну тогда и колеса тебе ни к чему" (c) анекдот про жигуль и мужика. В смысле, тогда и overcommit себе отключи. А то что программ меньше запускаться сможет на той же RAM - см выше про анекдот :). Без зарубания RCU и оверкомита, война с KSM - это даже не полумеры.

     
     
  • 5.117, Аноним (117), 21:36, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >В смысле, тогда и overcommit себе отключи

    Не могу - уже отключён ¯\_(ツ)_/¯.

     
     
  • 6.122, Аноним (-), 09:13, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>В смысле, тогда и overcommit себе отключи
    > Не могу - уже отключён ¯\_(ツ)_/¯.

    Так, круто. RCU наверное надо еще отпатчить нафиг, а то как же это - при форке нет полной копии процесса? KSM так, мелочь, на этом фоне то. Своп, конечно, тоже отключить. Ибо нефиг.

    Ща мы этому анону супер-безопасный комп сделаем! Я кстати говорил, что если от компа питание отцепить - то тогда хаксоры точно обломятся? Попробуй-ка оспорить не подцепленый шнур ремотно :)

     
  • 3.81, Аноним (-), 00:37, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Sparse файл + ksm какой-нибудь, вполне осуществимо.

    В полнолуние високосного года, если это четверг, и прошел дождичек, а на горе засвистел рак - можно найти фрика который зачем-то все же стал что-то делать с JXL через ffmpeg. И даже попробовать его хакнуть, если вдруг удастся как-то подсунуть ему sparse файл на дохреналион и у него не упадет система.

    ...а теперь коронный номер: попробуйте дожить до момента когда вы увидите это своими глазами.

     
     
  • 4.82, Аноним (3), 00:41, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    При передаче по сети нули тоже сожмутся в ничто.
     
     
  • 5.93, Аноним (-), 04:07, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > При передаче по сети нули тоже сожмутся в ничто.

    Вот прям в ничто? Ух, где б такой кодек то взять? Я б взял парочку. А то даже если там сжатие будет довольно приличные 1000 к 1, от 8388608 тибибайт останется 8388.6 тибибайт что тоже так бы не очень весело качать.

     
     
  • 6.101, Аноним (3), 09:26, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не хочешь качать, передай zip-bomb.
     
     
  • 7.111, Аноним (-), 12:17, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Не хочешь качать, передай zip-bomb.

    Сейчас дофига кода если ratio выше разумного - просто сразу зарубает процессинг и можно обломаться за сам факт что это zip bomb.

    А так вообще угарный тредик вышел. На ffmpeg наехали за баг в нерелизнутой версии в новой (!!!) фиче, хотя так то - "оперативно словили, вот все б так!" скорее стоило сказать. Да еще предъявили ему за косяк ... гугли :). Все правильно сделали мля.

     
     
  • 8.112, Аноним (3), 12:26, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ТЫ не представляешь, как часто проверок оказывается недостаточно А на ffmpeg на... текст свёрнут, показать
     
     
  • 9.113, Аноним (-), 16:50, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, я почитал гитхаб Там одно только code DO NOT REMOVE OR SKIP THE ISS... большой текст свёрнут, показать
     
     
  • 10.114, Аноним (3), 17:10, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь тебе пользователи умом не вышли, красавчик Это всё не имеет значение, са... текст свёрнут, показать
     
     
  • 11.124, Аноним (-), 10:56, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что вижу - то и пою Вроде единственный проект где я ТАКУЮ плашку видел Явно не... большой текст свёрнут, показать
     
  • 2.42, Аноним (-), 16:44, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не обязательно.
    Может там есть еще одна узявимость, которая позволяет хакнуть размер.

    А может все проще (если читать статю)) и достаточно "специально оформленных изображений".
    Просто созддаешь картинку которая думает что она 100500 тибибиайт в квадрате и все.
    Помнишь раньше было такое развлечение zip-бомбы?

     
  • 2.46, Аноним (-), 16:53, 30/01/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 2.48, Аноним (41), 17:02, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Не смей его критиковать! Да он делает овно, но зато какое! И мы будем противиться внедрению инструментов не позволяющих делать овно!!!"
    Как-будто речь об умственно отсталых, нельзя коворить что они делают плохо, они ведь так стараются!
    Хотя... речь же о сишниках? А тогда все норм.


    Я не понимаю, вас сишники силой заставляют юзать их софт чтоли? Ну напиши на расте (или правильнее сказать перепиши) и будет все в безопасносте. Зачем вы, болезные, мучаетесь и страдаете?

     
     
  • 3.51, Аноним (51), 17:16, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    тогда не будет повода поныть на форуме и придётся работать
     
  • 3.57, Аноним (57), 18:04, 30/01/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Внимание! Все видите? Вот вам живой пример, как растоманы заставляют юзать их софт.
     
     
  • 4.88, Аноним (87), 02:27, 31/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Несуществующий? Вот садисты.
     
  • 3.121, Аноним (118), 06:11, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А почему не на go или zig?
     

  • 1.100, Данные в так называемом поле Name (?), 09:24, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Правильно ли я понял ситуацию? Гипотетически могло произойти следующее: сегодня ты конвертишь прон, а завтра дом твой заложОн?
     
     
  • 2.125, Аноним (-), 11:00, 01/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Правильно ли я понял ситуацию? Гипотетически могло произойти следующее: сегодня ты конвертишь
    > прон, а завтра дом твой заложОн?

    Гипотетически много чего может произойти. Например все молекулы воздуха выйдут из вашей комнаты и соберутся в соседней. Но вероятность этого события такова что вы до этого не доживете.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру