Poważna luka w VLC (dla Windows)
- Dodano: 3 lipca 2008
- Wprowadził: michuk
- Komentarze: 30
VLC Media Player w wersji dla Windows zawiera poważną lukę bezpieczeństwa, której wykorzystanie może dać atakującemu możliwość wykonania dowolnego kodu.
Jak czytamy w portalu DobreProgramy.pl:
Secunia poinformowała o błędzie zakwalifikowanym jako „wysoce krytyczny” w popularnym odtwarzaczu VLC Media Player. Błąd przepełnienia bufora może zostać wywołany podczas odtwarzania specjalnie spreparowanego pliku WAV, efektem może być wykonanie zewnętrznego, złośliwego kodu.Błąd występuje w najnowszej wersji programu oznaczonej jako 0.8.6h , a także w starszych. Usunięty zostanie w mającej pojawić się niebawem wersji 0.8.6i.
„Niepewne” pliki WAV radzimy odtwarzać do tego czasu w innych programach.
Więcej informacji: http://dobreprogramy.pl/index.php?dz=15&...a+Playerze
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
30 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
więcej programów = więcej plików do zainfekowania = więcej luk = więcej do plądrowania
większa różnorodność programów == mniej wirusów, bo trudniej napisać wirusa wykorzystującego luki w 5 najpopularniejszych programach używanych przez większość (np. każdy po 20% udziału w rynku) niż w jednym, który prawie cały rynek. Jeśli twórcy wirusów, trojanów itp będą mieli więcej pracy to będą wolniej pisali swój software i jego propagacja będzie też mniejsza ze względu na różnorodność.
Czy dobrze mi się wydaje i ten VLC to nie jest Linuksowy odtwarzacz sportowany na Windows?? Dlaczego ta luka występuje tylko na tej platformie? Ile kodu twórcy tego programu musieli przepisać, by zaczął on działać pod Windowsem? Dlaczego to wersja na Windows ma błąd, mimo że korzysta z niej więcej osób?
Może zadaj te pytania na ich ircu/liście mailingowej?
Prawdopodobnie dla tego, że pod Windows używa on innych kodeków. Poza tym jeśli dobrze pamiętam tego typu błędy zdarzały się już w innych programach. Przeciążony system nie jest w stanie zweryfikować pliku i bezmyślnie go wykonuje. Niech mnie ktoś poprawi jeśli się mylę.
Myślę, że niewiele. Aktualna wersja jest napisana bodaj w wxwidgets, a najnowsza wyjdzie bodaj na Qt4. Obie biblioteki są przenośne, a co za tym idzie wystarczy tylko (przynajmniej teoretycznie) kompilacja pod Windows.
M-Z: kodeki nie są pisane w wxwidgets ani Qt. To bez znaczenia.
Tym bardziej powinny być pisane w sposób przenośny. Kod GUI bez bibliotek typu Qt/wxwindows musiałby być różny dla różnych systemów; kod kodeków nie.
Ciekawe tylko kto normalny korzysta z WAV do odtwarzania zwykłej muzyki…
do odtwarzania korzysta się z … odtwarzaczy
ale odpowiadając… .WAV jako półprodukt w obróbce dźwięku się całkiem przydaje
Umiesz czytać? Napisałem do odtwarzania "zwykłej muzyki" czyli takiej normalnej z płyt CD, czyli to co teraz masz w formacie MP3 czy OGG. A do obróbki dźwięku masz inne programy.
BTW. "WAV do odtwarzania"
Czepiasz się. Zwykły skrót myślowy.
Ja korzystam, chociaż przerzucam się na flac.
Bug polega na przepełnieniu (od dołu) wartości unsigned int. Mniej więcej coś takiego, iż "1
#include
int main(void)
{
unsigned int i=0;
printf("i wynosi teraz %d
",i);
i-=2;
printf("i-=2;
");
printf("i wynosi teraz %u
",i);
return 0;
}
</code>
Zjadło tag "code"
Miało być iż 1
Ciekawe co ten news ma wspólnego z Linuksem…
Nic, ale bez Windowsa Linux by nie istniał
Oczywiście, wszyscy wiedzą, że Linux działa pod Windowsem
osnews nie pisze tylko o linuksie o_0
Ale na linuxnews to chyba powinny byc linux newsy. Jak bede chcial sobie poczytac o dziurach w aplikacjach na inne systemy to sobie znajde jakies windowsnews.pl.
O dziurze w foobarze czy winampie nikt by tu nie napisał, ale VLC ma wiele wspólnego z Linuksem. W tytule stoi jak wół, że chodzi o windowsowy port programu, więc możesz olać newsa zanim go otworzysz
Dokładnie to samo chciałem napisać ale widzę, że mnie wyprzedziłeś.
Takie newsy tylko zaśmiecają listę
Pytanie tylko kto korzysta z VLC do odtwarzania wav?. Inaczej kto wogóle odtwarza jeszcze wavy?
ten zewnętrzny kod, trzeba rozumieć jako coś umieszczonego na dysku, czy dostępnego przez powiedzmy http?
Do samych plikow WAV pewnie nikt, ale przeciez mozesz odtwarzac chocby AVI w ktorym strumien audio jest zapisane w formacie WAV.
no to byloby oczywiste, byc moze zle, ale tresc zrozumialem tak ze chodzi o pliki WAV.
Strasznie Panowie, tutaj, za przeproszeniem pieprzycie… „kto odtwarza jeszcze wave'y”, bla, bla, bla….
Rozumiem, że niemodnie jest trzymać dźwięki w prostym, kompatybilnym ze wszystkim, bezstratnym formacie jakim jest poczciwy WAV? Należy ją koniecznie albo sobie spieprzyć do ogg/mp3/wstaw_swój_ulubiony_hiper_niesłyszalny_format_stratny, albo, po audiofilsku zflacować?
Otóż tak się składa, że często mam pliki WAV i je sobie odtwarzam w najróżniejszych celach. Z tą drobną różnicą, że mplayerem, bo akurat do niego jestem przyzwyczajony, ale równie dobrze wyobrażam sobie kogoś, kto do podobnych celów używa vlc. Również flac mnie na codzień nie interesuje, bo nie miewam tych plików tak dużo, żeby sprawa miejsca przy archiwizacji była problemem (a czas swój i CPU na flacowanie/rozflacowywanie trzeba poświęcić).
Popieram, moja sytuacja jest w miarę podobna, z tą różnicą, że ja preferuję flac (muzyki mam za dużo, żeby jej nie kompresować).
@Pawel_Malkowski: "Zewnetrzny kod" oznacza chyba kod "wstrzykniety" odtwarzaczowi przez odpowiednio spreparowany plik WAV.
"sportowany", "innych kodeków"??? o_o Matko święta, pewnie i tak powtarzam to co inni tu napisali, ale ten odtwarzacz jest WIELOPLATFORMOWY. Ma własne biblioteki do dekodowania i GUI uniezależnione od jakiegokolwiek systemu (wxWidgets/Qt4) – wyjątek Cocoa na Mac OS X i Be API na BeOS'ie.
SPAM, to nie na linuxnews.pl! Ile razy można powtarzać, od tego powstało OS News