Ostrożnie z dekodowaniem w FFmpeg pod Linuksem

i zonk !

OGG lepszy....

Gstreamera też dotyczy?

Przejąć kontrolę nad komputerem z Linuksem?!

HA! Dopiero co pojawiła się wzmianka o luce, a już jest wdana poprawka. Co pięknego!

Woah, bój się człowieku napisów xD (gutek film by się ucieszył). A jeśli do jutro nie będzie aktualizacji przynajmniej w backportach ubuntu to sam zrobie pakiet, udostępnię na ppa od launchpadza i podam tutaj linka ^^

Hmm.
A czemu nie pod Windowsem to działa???

Niby to, bardziej bezpieczny system, a jednak tego nie potrafią zrobić - heh.

Pozdrawiam.

PS.
NIe chcę wywołać wojny, ale ostatnio był podoben cośale tylko pod Windows i zaraz zaczęło, że GNU/Linux bezpieczniejszy. A tu mamy całkiem odwrotnie. Co dowodzi tylko, że zależy od implementacji jaka jest zrobiona a nie od systemu (chociaż nie zawsze)

Kogo tak naprawde obchodza "dreszczowce" Secunii reka do góry?

a tym bardziej na linuksie gdzie to bedzie zalatane w tydzien..

Ciekawe kiedy poprawka zostanie udostępniona na LinuxUpdate i automatycznie zainstalowana. Hmm... nigdy?

Ciekawe kto uzywa plikow SRT??? Raczej wszystko kreci sie wokol txt

omg juz zygam tymi lukami...luki, luki i w kolko jedno i to samo, kogo obchodza jakies luki. Jak maja sie wlamac to i tak sie wlamia, a softu niebede zmienial bo ma jakas tam luke, mniej czy brdziej wazna. Jak by zycie krecilo sie tylko w okol luk. Kiedy nie wejde na DP to jest jakis news o lukach...:/

P.S.
Oczywiscie moja wypowiedz nie byla skierowana do redakcji. Wypowiadam sie ogolnie :P

ffdshow, mplayer, i innych bazujacych prawdopodobnie gstreamer rowniez

oj, oj, trzeba sie odlaczyc od neta przy ogladaniu filmow :) fajnie, ze wyszukuja takie bug'i, ale mnie sie nie zdarzylo jeszcze ogladac plikow video z playstation - z naglowka pliczku psxstr.c, w ktorym jest poprawiony kod:

* Sony Playstation (PSX) STR File Demuxer
* Copyright (c) 2003 The ffmpeg Project
*
* This file is part of FFmpeg.

wiec nie martwie sie, mnie to nie dotyczy. swoja droga, fajnie; reakcja programistow jest tak szybka, ze DP daja newsa wtedy, gdy poprawka juz jest, a nie tylko dziura bez laty...

Czy ten ewentualny szkodliwy kod ma uprawnienia roota, czy zalogowanego użytkownika?

Heh i już jest poprawka :)

I jak zwykle przed każdą istniejącą, znaną bądź nie, dziurą - chroni zwykła ostrożność użytkownika. Jak się łazi i ściąga rzeczy z nieznanych źródeł to potem można mieć pretensje tylko do siebie, a nie do dziur w systemie. Nawet najlepsze drzwi antywłamaniowe nam nie pomogą jak złodzieja do domu wpuścimy bo to niby pan z energetyki ;P

Raczej mało prawdopodobne na wykorzystanie tej luki w systemach Linux, gdzie w kernelu jest zastosowany pakiet grsecurity...

Gstreamera nie dodyczy to ...chyba ;)

@G.Gn7: A co ma format (OGG) do narzędzia (FFMpeg)?

wielkie mi halo, chyba nie za wielka "użyteczność" jest tego błędu, formatu STR używa się w grach na Sony Playstation, i to chyba tylko w jedynce, w dwójce i trójce przeszli na codec Bink

ale i tak trza spaczować...

"co za tym idzie na przemycenie na komputer ofiary szkodliwego kodu, który z kolei ułatwi przejęcie kontroli nad atakowanym systemem"

Hmm, przejęcie kontroli? Przecież filmy odpala się jako użytkownik a nie root.

Już widzę to, co się będzie pode mną działo.

Nie chodzi tylko ffmpeg. I raczej nie ma się czym martwić zaraz będą patche wszędzie.

Moze mi ktos wyjasnic, w jaki sposob mozna przejac kontrole nad komputerem, jezeli dekodowanie bedzie przeprowadzane z konta użytkownika a nie roota?

Mozna co najwyzej uzyskac uprawnienia użytkownika, ktory otworzył plik, a stad do kontroli nad komputerem jeszcze daleka droga.

"Udostępniona została już stosowna poprawka eliminująca wspomnianą w komunikacie Secunii lukę bezpieczeństwa i jest dostępna pobrania z repozytoriów SVN".

I to jest najważniejsza wiadomość.
Pozdrawiam

Czary z mleka!
Linux tez dziurawy :DJuz widze te zasmucone miny linuxiarzy ;)

Przecież wykorzystanie tej luki graniczy z cudem. Mało realny scenariusz, gdyż większość transkodowania wykonywana jest przecież z pierwotnych plików (backup - dvd), transkodowanie własnych materiałów filmowych itp.

No i proszę, widzę że pod Linuxem też występują problemy ze sprzętem..Ale tak to jest jak wybiera się system niestabilny - w Windows wbudowany jest Windows Media Player, zawsze można ściągnąć Windows Media Player Classic i gitara..

Zasmuca mnie sposób prezentowania informacji. Dekodujac plik robisz to na koncie użytkownika, a użytkownik nie ma dostępu pełnego do maszyny.

NIE DA SIĘ w taki sposób przejąć kontroli, ba, nie znając hasła roota user nigdy nie przejmie kontroli nad kompem, a jedynie może rozwalić swoje konto (+to co root mu pozwolił nadając prawa dostępu).

Proszę o więcej rzetelności na przyszłość.

@Ja
"Ciekawe kiedy poprawka zostanie udostępniona na LinuxUpdate i automatycznie zainstalowana. Hmm... nigdy?"

Widać, że nie masz pojęcia o czym piszesz. Ot tak aby coś napisać...

@Alden:
"No i proszę, widzę że pod Linuxem też występują problemy ze sprzętem.."

Dziecko drogie, oszczędź komentarzy jak nie masz o tym zielonego pojęcia. O jakim sprzęcie myślisz? Tak to jest, jak się czyta bez zrozumienia :/ Luka dotyczy oprogramowania a nie sprzętu. Ale co tam... ważne aby coś napisać, głupie lub nie ale niech będzie... Beznadzieja

Użytkownicy Windowsów, z czego się tak cieszycie? Z tego, że nie tylko Windows jest dziurawy? Śmieszne. Mnie, jako użytkownika Linuksa, również bardzo cieszy ten news. Pokazuje on jak szybko u nas są łatane wszelkie luki. Przecież już jest łatka więc o co tyle krzyku?
Pozdrawiam normalnych.

[Czary z mleka!
Linux tez dziurawy :DJuz widze te zasmucone miny linuxiarzy ;)]

Ludzie, jesteście puści jak Dorota Rabczewska! Luka dotyczy oprogramowania dostępnego na Linuksa, a nie systemu GNU/Linux! Czy wy umiecie czytać?! Jak napiszę komunikator pod Linuksa, w którym będzie dziura, która umożliwi wykradnięcie hasła użytkownika komunikatora, też napiszcie że to wina systemu?! Matko boska! -,-'

Luka zagraza w bardzo minimalnym stopniu i do tego jeszcze mamy juz late :D a MS ma swoje dziury kilku letnie i co i tam da sie przejac kontrole na systemem :D wkoncu banda kret**** i idio**** siedzi na kontach administratora wiec juz latwiej nie ma :D

@Bobikus
Mylisz się. Ostatnio była dziura w kernelu że po wykonaniu skompilowanego exploita przejmowało wchodziło się na konto roota :)
ale oczywiście łatka jest...
już nieaktualne.

Zwolennicy Ubuntu kpią z Windows, zwolennicy Debiana - z Ubuntu, zwolennicy Gentoo - z Debiana, a zwolennicy FreeBSD - z Gentoo." A ja kpię z nich wszystkich

ale mi news! Znaleziono lukę w oprogramowaniu linuxa! Każde oprogramowanie ma luki, dziury i tego rodzaju bzdety. Ważne, by jądro było bez dziur. Co mi może wykraść z komputera ktoś wykorzystujący taką dziurę? Nazwy MP3? Ważne by nie pracować pod rootem bo wtedy może być różnie. Tylko kto używa tego typu uprawnień na co dzień?

@ Klin
Dobra moja wina, masz rację luka nie dt. sprzętu, tylko oprogramowania. W takim razie: Widzę, że na Linuxie także występują z nim problemy, a Wy Linuxiarze uważacie swój system za doskonały (każda sroka swego ogona broni) - ja na Windowsie nie mam problemów z oprogramowaniem ani ze sprzętem, a największy problem jaki mam na Windowsie to sieć LAN, której jestem userem.

"ja na Windowsie nie mam problemów z oprogramowaniem ani ze sprzętem"

Jasne. Możemy żyć bez świadomości istniejących zagrożeń. To zawsze jeden problem mniej na głowie. Człowiek szczęśliwszy. Do czasu, aż mu coś komputer świruje i lata po forach z pytaniem co zrobić? albo popatrzcie na moje logi w HiJackThis ;p

@Alden

Cały czas mam jednak wrażenie, że nie wiesz o czym piszesz, albo co tak naprawdę komentujesz :/ Wywołujesz kolejną głupią wojnę W-L. Zauważ proszę co napisałeś: " Widzę, że na Linuxie także występują z nim problemy, a Wy Linuxiarze uważacie swój system za doskonały (każda sroka swego ogona broni) - ja na Windowsie nie mam problemów z oprogramowaniem ani ze sprzętem, a największy problem jaki mam na Windowsie to sieć LAN, której jestem userem". Chwała Tobie, że nie masz problemów na Windzie. Ja tak samo - na moim Linuksie nie mam naprawdę żadnych problemów, ale czy ten komentarz ma coś wspólnego z newsem??? Błagam.... luka dotyczy błędu w zestawie narzędzi do odtwarzania, a nie Linuksa. Czy naprawdę uważasz, że jak wykryją podobny błąd w odpowiedniej bibliotece windowsowej w jakimś tam innym programie, to należy zbesztać windows?

Próbowałem ffmpeg z nakładką graficzną (chyba WinFF) i za każdym razem sie wykrzaczał, obecnie korzystam z Avidemux i jest po prostu cudowne!

@ Klin
Windows i tak jest besztany za byle co albo czasem słusznie (ostatnia afera z Vista Compatibili center), ogółem Windows to największe zło itd. Dobrze, że chociaż jeden nie uważa, że Windows jest gorszy pomimo, że używa Linuxa. Mam dość już słuchania: Ubuntu jest lepsze, ogółem Linux jest lepszy, więc go zainstaluj. Myśleć sobie każdy może jak chce, ale po jaką cholerę mam instalować Linuxa? Jak im się nie podoba, że używam Windows to ich problem, nie mój, tak samo jak moim problemem jest to, że używam Windows.

@elkanguro
Jak sam piszesz "Użytkownicy Windowsów, z czego się tak cieszycie? Z tego, że nie tylko Windows jest dziurawy? Śmieszne. Mnie, jako użytkownika Linuksa, również bardzo cieszy ten news. Pokazuje on jak szybko u nas są łatane wszelkie luki." Pokazuje też to, że Wy Linuxiarze nie potraficie przyznać się do tego, że Wasz soft jest dziurawy, niestabilny, uważacie się za lepszych bo jakaś tam łatka wyszła w szybkim tempie i cześć. Pomyślcie wszyscy Linuxiarze ile wniósł Wasz ukochany Linus Torwalds czy Ian Murdock do rozwoju informatyki, a ile Windows i Microsoft? Pod jaki system jest więcej sterowników i oprogramowania? Pod Windows. Pod jaki system firmy produkują karty graficzne, procesory, pamięć RAM? Pod Windows. Windows - król systemów, monopolista.
Linux - szaraczek próbujący nadgonić swego niedoścignionego i częściej używanego przeciwnika.

@ppp - "Czary z mleka!
Linux tez dziurawy :DJuz widze te zasmucone miny linuxiarzy ;)"

a jakbys widzial jacy jestesmy happy, kiedy wychodzi taki news a lata juz jest :) no i jednej luki mniej :)

@NG - tez dotyczy... porownywalem source...

@Respev

[Luka dotyczy oprogramowania dostępnego na Linuksa, a nie systemu GNU/Linux!]

Masz rację. Tylko zauważ reakcje linuksiarzy po tym:

http://dobreprogramy.pl/index.php?dz=15&n=8593&Wlamanie+na+Leoparda+w+2+minuty

newsie. Do Visty włamano się przez lukę we Flash'u ale oczywiście to "Windows jest be".

Niestety... zazdrość i szyderstwo jest nam wpisane wielkimi literami w nasze śmieszne i szare życie. Zawsze jeden i ten sam schemat, wieczne porównywanie jednego do drugiego. Zawsze tak było jest i będzie, windows vs linux, xbox360 vs PS3 i wiele wiele innych pseudo konfliktów które tylko zaśmiecają internet. Wniosek z tego bardzo prosty, mamy za dużo czasu = za mało obowiązków. Przypominacie mi grę Lemmings.