Вирус на 300 баксов
И да, такой вопрос в воздух: а что, executable stack/data/heap в винде возможны?
насколько я знаю - нет.
насколько я знаю - нет.
А откуда тогда крики о запуске произвольного кода через эту дырку?
А откуда тогда крики о запуске произвольного кода через эту дырку?
Без понятия 😉 Про эту дырку от 2007 года написали вы. В статье от чекпоинта об этом ни слова: blog.checkpoint.com/…/hacked-in-translation/
Журнализм чистой воды; сначала приписать им что-то а потом гневно с этим бороться 😃
Журнализм чистой воды; сначала приписать им что-то а потом гневно с этим бороться 😃
Отмотайте тред назад. Ссыска на РИАН, ведущая к чекпоинтам, была приведена как аргумент в пользу того, что через дырку в плеере можно выполнить произвольный код, сформировав некие специальные данные и нас всех скоро захватит скайнет. Я же, почитав security advisory и анонсы патчей, утверждаю, что это полный бред, опубликованный чекпоинтами в качестве самопиара, раздутый безмозглыми журнализдами и тиражируемый повсюду разными специалистами.
была приведена как аргумент в пользу того, что через дырку в плеере можно выполнить произвольный код,
“Загруженные субтитры позволяют мошенникам получить удаленный доступ к личной информации пользователей, устанавливать вредоносное программное обеспечение и проводить DoS-атаки, отмечают исследователи компании.”:
утверждаю, что это полный бред
Если бы это было полным бредом то разработчики плееров не выпускали бы заплатки.
А чем свои слова можете подтвердить вы?
“Загруженные субтитры позволяют мошенникам получить удаленный доступ к личной информации пользователей, устанавливать вредоносное программное обеспечение и проводить DoS-атаки, отмечают исследователи компании.”:
Вы этому верите? Флаг вам в руки и барабан на шею, несите деньги в кассу.
Если бы это было полным бредом то разработчики плееров не выпускали бы заплатки.
Вот в то, что без этой заплатки плеер, прочитав некорректные данные просто упадет - верю на 146%, и именно это и фиксят разработчики в первую очередь.
А чем свои слова можете подтвердить вы?
Я свои слова могу подтвердить, но аудит кода на предмет безопасности - штука недешевая, а хобби у меня другое 😃
несите деньги в кассу.
Где вы деньги то увидели? 😵
Я свои слова могу подтвердить, но аудит кода на предмет безопасности - штука недешевая, а хобби у меня другое
Так и думал 😃
Где вы деньги то увидели? 😵
Так и думал 😃
Не, ну честно, а зачем мне это делать? Когда мне на работе этим приходится заниматься, чтобы понять, насколько та или иная дыра нам опасна и надо ли бросать все и затыкать ее телом - мне за это деньги платят. To, что данный пост бред - я знаю, посмотрел, ни мне дома, ни нашим клиентам, качающим через нас петабайты медийки, эта дыра не угрожает. Объяснять и доказывать что-то вам - не хочу, к вам придет специализд и выставит вас на бабки, не сейчас, так в другой раз.
бъяснять и доказывать что-то вам - не хочу, к вам придет специализд и выставит вас на бабки, не сейчас, так в другой раз.
Блажен кто верует. 😁
П.С. Единственный софт который я купил за последние 25 лет - Age of Empires 2 Gold Edition за $16. 😃
П.С. Единственный софт который я купил за последние 25 лет - Age of Empires 2 Gold Edition за $16. 😃
Я фигурально, не в вас и не в плеере дело. К другим придут и скажут: VLC - дырявое дерьмо, покупайте наш суперплеер, мы хоть и не гарантируем вам ничего, но поверьте, он лучше всех, чекпоинт про него ничего не написал же ! И купят ведь. Короче, никакой техники здесь нет, голый маркетинг, хотите верьте, хотите - нет, засим закончим этот разговор.
VLC - дырявое дерьмо
Внутри всех перечисленных “дырявых” или “псевдодырявых” сервисов- ffmpeg, а ffmpeg это могучий кусок сишечки =)
Выводы делайте сами.
Не, ну честно, а зачем мне это делать? Когда мне на работе этим приходится заниматься, чтобы понять, насколько та или иная дыра нам опасна и надо ли бросать все и затыкать ее телом - мне за это деньги платят. To, что данный пост бред - я знаю, посмотрел, ни мне дома, ни нашим клиентам, качающим через нас петабайты медийки, эта дыра не угрожает.
А тем временем kodi признали уязвимость: kodi.tv/…/kodi-v173-minor-bug-fix-and-security-rel…
Я робко поинтересуюсь…
Господа no_name и Aerorus - вы в каких компаниях и чем, если не секрет, себе на жизнь зарабатываете?
Так с этого места поподробнее)
ffmpeg/ffdshow да, могут исполнять некоторый код (обработка разметки и анимация формата ass, подхват или извлечение ttf шрифта для отображения, в планах был показ изображений но не случилось), всё, что не соответствует внутреннему формату - игнорируется.
В статье написано про 25+ форматов, и ни один конкретно, а .srt для Сноудена вообще представляет из себя plain text с временными метками - кому и что исполнять?
Хотя вообще сомнительные плееры для сомнительных сервисов.
Тем временем wannaCry запустили под вайном, у некоторых даже получилось что-то у себя зашифровать(создать ашифрованные копии файлов), но запрет на изменение не дал удалить исходные данные.
Тем временем wannaCry запустили под вайном, у некоторых даже получилось что-то у себя зашифровать(создать ашифрованные копии файлов), но запрет на изменение не дал удалить исходные данные.
Я хотел высунуть какую-нибудь виртуалку с виндой голым задом в интернет и попросить ее заразить добрых людей, но как-то не склалось.
ffmpeg/ffdshow да, могут исполнять некоторый код (обработка разметки и анимация формата ass
Но крики-то не об этом, не про несекьюрные фичи ffmpeg, а про && вместо || в коде обработки сабтитлов
вы в каких компаниях и чем, если не секрет, себе на жизнь зарабатываете?
Делаем серверное ПО для всего что связано с видео.
Захват, транскодирование, раздача, и т.д.
QA
что не соответствует внутреннему формату - игнорируется.
Ага, на заборе тоже написано 😁
попросить ее заразить добрых людей, но как-то не склалось.
Кулхацкеры среди нас?😉
Господа no_name и Aerorus - вы в каких компаниях и чем, если не секрет, себе на жизнь зарабатываете?
Разработка ПО в том числе и для банков, в основном бэкенд.
QA
Дорогой Junior.
Вы слушайте, что умные дяди здесь говорят. Не все дяди умные, но слушать нужно умных. 😃 А уже потом размахивайте своими необыкновенными познаниями и кусками сишечки.
в основном бэкенд.
И простите каким концом это к internet seciurity?
И простите каким концом это к internet seciurity?
Абсолютно никаким ЛОЛ
Вы слушайте, что умные дяди здесь говорят
Это сюр 😲
Абсолютно никаким ЛОЛ
Спасибо, в очередной раз понял ценность ваших слов и мнений. 0/0
Спасибо, в очередной раз понял ценность ваших слов и мнений. 0/0
Наздоровье
П.С. Про “никаким” - это был сарказм, если вдруг “умный” дядька не понял.