Уязвимость в библиотеке ffmpeg

Список разделов

Сообщение #1 Dissident » 23.01.2016, 01:22

http://news.softpedia.com/news/zero-day-ffmpeg-vulnerability-lets-anyone-steal-files-from-remote-machines-498880.shtml

Нашли дыру в библиотеке ffmpeg из-за которой при открытии специально сделанного видеофайла есть возможность читать файлы на компе и отправлять по сети. Уязвимость не позволяет исполнять произвольный код.

Исправлено в версии ffmpeg 2.8.5 (установите обновление для вашей операционной системы!), но проблема в том, что библиотека может быть статически скомпилирована как часть другой программы. Так подвержена ей может быть ваша программа управления файлами, если она автоматически открывает все медиафайлы в папке для предварительного просмотра. То же относится к видеоплеерам и редакторам.
Dissident
Автор темы
Аватара
Сообщения: 1507
Зарегистрирован: 22.01.2013

Сообщение #2 PorNoSloNiK » 23.01.2016, 01:31

Вот жеж блядь!
Качал порно в виртуалке, теперь и смотреть буду только в виртуалке :)
F65.4
PorNoSloNiK M
Аватара
Сообщения: 2004
Зарегистрирован: 26.01.2013

Сообщение #3 Xisp » 23.01.2016, 15:51

Dissident писал(а) 23.01.2016, 01:22:ffmpeg

К с тати, вроде как в фурифоксе есть какие- то ошмётки от него. По крайней мере в абоут:конфиг.

Dissident писал(а) 23.01.2016, 01:22:Нашли дыру в библиотеке ffmpeg из-за которой при открытии специально сделанного видеофайла есть возможность читать файлы на компе и отправлять по сети.

Если конечно нет файервола и не настроены права.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Аватара
Сообщения: 12799
Зарегистрирован: 20.01.2013

Сообщение #4 Yuuichi » 23.01.2016, 16:38

Как понять есть ли эта библиотека в системе или нет? Поиском по названию находятся только ffmpegsumo.dll и gstffmpegcolorspace.dll в папках браузеров.
Yuuichi
Аватара
Сообщения: 666
Зарегистрирован: 22.01.2013

Сообщение #5 Dissident » 23.01.2016, 19:58

Если она или её части скомпилирована статически - то никак.
Dissident
Автор темы
Аватара
Сообщения: 1507
Зарегистрирован: 22.01.2013

Сообщение #6 Гость » 23.01.2016, 20:10

Yuuichi писал(а) 23.01.2016, 16:38:Как понять есть ли эта библиотека в системе или нет?
Есть набор утилит Codec tools, в составе К-литл. Можно юзать независимо от комбайна. Там есть прога gspot.exe. В ней шмонаешь всю систему на длл и содеки. Для винды все пишу.

Добавлено спустя 2 минуты:
Кроме того плееры и плагины и конвертеры видео, особенно бесплатные, любять напихать всякой хуиты. Лечится шмоном установленных прог.
Гость

Сообщение #7 Raisonneur » 23.01.2016, 20:39

Если у меня фаервол не позволяет проигрывателям обращаться к интернету, то я в безопасности? Через браузер ничего не смотрю.
кусая ближнего
Raisonneur M
Аватара
Откуда: Tampere
Сообщения: 2482
Зарегистрирован: 13.02.2013

Сообщение #8 Гость » 23.01.2016, 21:02

Не могу обосновать сейчас, но теоретически ты не в полной безопасности(мое ненаучное мнение)
Гость

Сообщение #9 cute_is_all » 09.01.2021, 22:55

Блин, буквально недавно конвертировал кое-какое дп видео с помощью этой програмы из 4K, так как у меня не тянуло в виртуалке... Потом вспомнил про то, что видел эту тему про дыру в ней. Отлично, что этой новости 4 года и всё давно залотали, а то я испугался :mellow:

Хотя, раз интернет в системе заблокирован, но вряд ли что-либо может утечь даже с уязвимостью. Советую хотя бы так сделать на всякий случай.
cute_is_all
Аватара
Сообщения: 864
Зарегистрирован: 08.09.2020


Вернуться в Железо и софт

Кто сейчас на форуме (по активности за 5 минут)

Сейчас этот раздел просматривают: 1 гость