Уязвимость в библиотеке ffmpeg

Список разделов

Сообщение #1 Dissident » 23.01.2016, 01:22

http://news.softpedia.com/news/zero-day-ffmpeg-vulnerability-lets-anyone-steal-files-from-remote-machines-498880.shtml

Нашли дыру в библиотеке ffmpeg из-за которой при открытии специально сделанного видеофайла есть возможность читать файлы на компе и отправлять по сети. Уязвимость не позволяет исполнять произвольный код.

Исправлено в версии ffmpeg 2.8.5 (установите обновление для вашей операционной системы!), но проблема в том, что библиотека может быть статически скомпилирована как часть другой программы. Так подвержена ей может быть ваша программа управления файлами, если она автоматически открывает все медиафайлы в папке для предварительного просмотра. То же относится к видеоплеерам и редакторам.
мы в ответе за тех, кого приручили
Dissident
Автор темы
Сообщения: 1904
Зарегистрирован: 22.01.2013

Сообщение #2 PorNoSloNiK » 23.01.2016, 01:31

Вот жеж блядь!
Качал порно в виртуалке, теперь и смотреть буду только в виртуалке :)
F65.4
PorNoSloNiK M
Сообщения: 2355
Зарегистрирован: 26.01.2013

Сообщение #3 Xisp » 23.01.2016, 15:51

Dissident писал(а) 23.01.2016, 01:22:ffmpeg

К с тати, вроде как в фурифоксе есть какие- то ошмётки от него. По крайней мере в абоут:конфиг.

Dissident писал(а) 23.01.2016, 01:22:Нашли дыру в библиотеке ffmpeg из-за которой при открытии специально сделанного видеофайла есть возможность читать файлы на компе и отправлять по сети.

Если конечно нет файервола и не настроены права.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #4 Yuuichi » 23.01.2016, 16:38

Как понять есть ли эта библиотека в системе или нет? Поиском по названию находятся только ffmpegsumo.dll и gstffmpegcolorspace.dll в папках браузеров.
Yuuichi
Сообщения: 922
Зарегистрирован: 22.01.2013

Сообщение #5 Dissident » 23.01.2016, 19:58

Если она или её части скомпилирована статически - то никак.
мы в ответе за тех, кого приручили
Dissident
Автор темы
Сообщения: 1904
Зарегистрирован: 22.01.2013

Сообщение #6 Гость » 23.01.2016, 20:10

Yuuichi писал(а) 23.01.2016, 16:38:Как понять есть ли эта библиотека в системе или нет?
Есть набор утилит Codec tools, в составе К-литл. Можно юзать независимо от комбайна. Там есть прога gspot.exe. В ней шмонаешь всю систему на длл и содеки. Для винды все пишу.

Добавлено спустя 2 минуты:
Кроме того плееры и плагины и конвертеры видео, особенно бесплатные, любять напихать всякой хуиты. Лечится шмоном установленных прог.
Гость

Сообщение #7 Raisonneur » 23.01.2016, 20:39

Если у меня фаервол не позволяет проигрывателям обращаться к интернету, то я в безопасности? Через браузер ничего не смотрю.
Spreng die Ketten - mach Dich frei!
Keine Regeln - keine Gnade winde dich aus deiner Schlinge. Mach den Traum zu deinem Leben! Alles was du brauchst ist Mut. Niemand soll dich daran hindern! Niemand wird dich daran hindern!
Raisonneur M
Киномеханик
Откуда: Reumm/Helsingfors
Сообщения: 8495
Зарегистрирован: 13.02.2013

Сообщение #8 Гость » 23.01.2016, 21:02

Не могу обосновать сейчас, но теоретически ты не в полной безопасности(мое ненаучное мнение)
Гость

Сообщение #9 cute_is_all » 09.01.2021, 22:55

Блин, буквально недавно конвертировал кое-какое дп видео с помощью этой програмы из 4K, так как у меня не тянуло в виртуалке... Потом вспомнил про то, что видел эту тему про дыру в ней. Отлично, что этой новости 4 года и всё давно залотали, а то я испугался :mellow:

Хотя, раз интернет в системе заблокирован, но вряд ли что-либо может утечь даже с уязвимостью. Советую хотя бы так сделать на всякий случай.
Список игнора: Резонер - за жесткие слова, LaNinja - завистливый, Sphinx - не ответил на сообщение в теме "Капитализм VS Социализм ...", Felix - редко использует смайлик loli-shy, Xisp - не читает сообщения в теме "Долбосрач", Campanula - скинул девочку, но мне она не понравилась
cute_is_all
Откуда: #нет_войне
Сообщения: 5688
Зарегистрирован: 08.09.2020


Вернуться в Железо и софт