Уязвимость в библиотеке ffmpeg

Список разделов

Сообщение #1 Dissident » 23.01.2016, 01:22

http://news.softpedia.com/news/zero-day-ffmpeg-vulnerability-lets-anyone-steal-files-from-remote-machines-498880.shtml

Нашли дыру в библиотеке ffmpeg из-за которой при открытии специально сделанного видеофайла есть возможность читать файлы на компе и отправлять по сети. Уязвимость не позволяет исполнять произвольный код.

Исправлено в версии ffmpeg 2.8.5 (установите обновление для вашей операционной системы!), но проблема в том, что библиотека может быть статически скомпилирована как часть другой программы. Так подвержена ей может быть ваша программа управления файлами, если она автоматически открывает все медиафайлы в папке для предварительного просмотра. То же относится к видеоплеерам и редакторам.
Обещание второе: Я всегда буду ставить твоё благополучие выше своего собственного.
Dissident
Автор темы
Сообщения: 883
Зарегистрирован: 22.01.2013

Сообщение #2 PorNoSloNiK » 23.01.2016, 01:31

Вот жеж блядь!
Качал порно в виртуалке, теперь и смотреть буду только в виртуалке :)
F65.4
PorNoSloNiK M
Сообщения: 1681
Зарегистрирован: 26.01.2013

Сообщение #3 Xisp » 23.01.2016, 15:51

Dissident писал(а) 23.01.2016, 01:22:ffmpeg

К с тати, вроде как в фурифоксе есть какие- то ошмётки от него. По крайней мере в абоут:конфиг.

Dissident писал(а) 23.01.2016, 01:22:Нашли дыру в библиотеке ffmpeg из-за которой при открытии специально сделанного видеофайла есть возможность читать файлы на компе и отправлять по сети.

Если конечно нет файервола и не настроены права.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 10943
Зарегистрирован: 20.01.2013

Сообщение #4 Yuuichi » 23.01.2016, 16:38

Как понять есть ли эта библиотека в системе или нет? Поиском по названию находятся только ffmpegsumo.dll и gstffmpegcolorspace.dll в папках браузеров.
Yuuichi
Сообщения: 454
Зарегистрирован: 22.01.2013

Сообщение #5 Dissident » 23.01.2016, 19:58

Если она или её части скомпилирована статически - то никак.
Обещание второе: Я всегда буду ставить твоё благополучие выше своего собственного.
Dissident
Автор темы
Сообщения: 883
Зарегистрирован: 22.01.2013

Сообщение #6 Anon-Ra » 23.01.2016, 20:10

Yuuichi писал(а) 23.01.2016, 16:38:Как понять есть ли эта библиотека в системе или нет?
Есть набор утилит Codec tools, в составе К-литл. Можно юзать независимо от комбайна. Там есть прога gspot.exe. В ней шмонаешь всю систему на длл и содеки. Для винды все пишу.

Добавлено спустя 2 минуты:
Кроме того плееры и плагины и конвертеры видео, особенно бесплатные, любять напихать всякой хуиты. Лечится шмоном установленных прог.
моя цель - рассказать красивую сказку так, чтобы она вам понравилась © Anon-Ra
Anon-Ra M
Сообщения: 2529
Зарегистрирован: 15.06.2015

Сообщение #7 Raisonneur » 23.01.2016, 20:39

Если у меня фаервол не позволяет проигрывателям обращаться к интернету, то я в безопасности? Через браузер ничего не смотрю.
Педофилы, по образному выражению заслуженного врача России психотерапевта-психиатра и сексопатолога Яна Голанда, как вампиры. Кусая ближнего, они увеличивают число себе подобных.
Raisonneur M
Откуда: Neverwhere
Сообщения: 1754
Зарегистрирован: 13.02.2013

Сообщение #8 Anon-Ra » 23.01.2016, 21:02

Не могу обосновать сейчас, но теоретически ты не в полной безопасности(мое ненаучное мнение)
моя цель - рассказать красивую сказку так, чтобы она вам понравилась © Anon-Ra
Anon-Ra M
Сообщения: 2529
Зарегистрирован: 15.06.2015


Вернуться в Железо и софт

Кто сейчас на форуме (по активности за 5 минут)

Сейчас этот раздел просматривают: 1 гость