Обнаружены уязвимости в MPlayer 1.0

Не сильно критичная уязвимость, имхо. Она позволяет с помощью специально сгенерированного файла выполнить код в контексте пользователя.

Тем не менее, ждём фиксов ;)

Ага. И на сборку любимых дистрибутивов с stack-protector по-умолчанию. Чтобы наконец забить на подобные проблемы.

> Она позволяет с помощью специально сгенерированного файла выполнить код в контексте пользователя.

Например, rm -rf $HOME. Либо повесить троянчика, рассылающего спам.

> Не сильно критичная уязвимость, имхо. Она позволяет с помощью специально сгенерированного файла выполнить код в контексте пользователя.

Дорогой друг, объясни, пожалуйста. Как может код в mplayer'е быть выполнен не в контексте пользователя?

http://www.linux.org.ru/jump-message.jsp?msgid=2484425&cid=2487490

А если mplayer собран без поддержки flac mov

>Дорогой друг, объясни, пожалуйста. Как может код в mplayer'е быть выполнен не в контексте пользователя?

Пожалуйте, дорогой друг! :)

http://click.opennet.ru/cgi-bin/opennet/jnews.cgi?to=http%3A%2F%2Fwww.opennet...

срочно удаляем mplayer с серверов!!!!

> MPlayer 1.0

4.2

>Тем не менее, ждём фиксов ;)

Судя по данным Secunia - патч уже есть, а критичность - 4/5 (немало)

>http://secunia.com/product/2255/?task=advisories

Хм, FLAC в Mplayer??

$ mplayer -ac help | grep flac

ffflac ffmpeg working FFmpeg FLAC audio decoder [flac]

VLC руляет! Пользуйте его!

Noatun наше фсио! :гы

>> MPlayer 1.0

> 4.2

+1

Вот чего я не понял - так это то, что на официальном сайте не нашел версии 1.0, есть только RC2. Объясните мне, пожалуйста этот феномен.

аналитики ЛОРа заранее предсказывают уязвимости

Думаю в SVN уже давно всё исправлено.

>$ mplayer -ac help | grep flac

>ffflac ffmpeg working FFmpeg FLAC audio decoder [flac]

Всю жизнь слушал флак в audacious, а в фильмах его никто не использует.

+1

А вообще, недостойная внимания "новость".

Ъ

Все же версия у Mplayer не 1.0,а 1.0rc2

>а критичность - 4/5 (немало)

вообще то 5/10

лол а не новость. такие "уязвимости" исправляются в каждом третьем коммите.

дейтсвительно, речь шла о MPlayer 1.0rc2

просто это опечатка

> Всю жизнь слушал флак в audacious, а в фильмах его никто не использует.

Тоже не встречал, но его применение вполне оправдано в записях музыкальных концертов.

В windows media player'е о такой уязвимости речи быть не могло бы. Не используйте пионерские поделки.

+1
Анонимный брат!

А сидящие в кривом пионэрском лялихе сами виноваты.
Используйте виндафс, это глобально и надежно!

> В windows media player'е о такой уязвимости речи быть не могло бы.

а что он умеет FLAC играть ?

>> В windows media player'е о такой уязвимости речи быть не могло бы.

>а что он умеет FLAC играть ?

бугога +100 меткое замечание

>а что он умеет FLAC играть ? +1

Ну, собственно, поэтому речи об уязвимости в его FLAC модуле быть и не могло, как правильно подметил анонимус :)

>В windows media player'е о такой уязвимости речи быть не могло бы. Не используйте пионерские поделки.

Конечно, оно ведь даже не запускается:

bash: wmplayer.exe: cannot execute binary file

> Не используйте пионерские поделки.

А я и не использую windows media player (:

>лялихе

К логопеду, быдло!

вот бы еще кто из mplayer team обратил внимание на zzuf'овые результаты...

>Вот чего я не понял - так это то, что на официальном сайте не нашел версии 1.0, есть только RC2. Объясните мне, пожалуйста этот феномен.

Этот феномен называется машина времени.

>лялихе

К ЛОГПЕДУ!

>К ЛОГПЕДУ

К логопеду!

>>К ЛОГПЕДУ

>К логопеду!

можно и к ЛОРопеду

мплеерукапец

> Либо повесить троянчика, рассылающего спам.

у Вас на /home не стоит noexec ?

> VLC руляет! Пользуйте его!

тормоза могут только тормозить, но ни как не рулить

> мплеерукапец

Не дождётесь!

anonymous> В windows media player'е о такой уязвимости речи быть не могло бы. Не используйте пионерские поделки.

Вот и не используем Windows Media Player, который не то что FLAC, mp3 не может нормально играть.

Хмм, как бы вам про это сказать, крикуны о уязвимости mplayer:

На момент публикации первичной информации об уязвимостях они уже были исправлены в SVN и были выпущены патчи для 1.0rc2: http://www.mplayerhq.hu/design7/news.html

Кстати, обратите внимание на даты: эта новость на ЛОРе -- давнишний боян.

>Вот и не используем Windows Media Player, который не то что FLAC, mp3 не может нормально играть.

Умеет через DirectShow. А что с mp3 не так?

>> 4.2

> +1

= 5.2 ;)

> возможность переполнения буфера при разборе FLAC

гыы, взлом ОСЛинукс через музыкальный файл.

>А что с mp3 не так?

Пользоваться этим монстром для прослушивания музыки? Хах. Да этот "диплодок" жрет столько памяти, сколько никакому амароку и не снилось. Пользоваться им хоть как-то было возможно до 9-ой версии включительно. Дальше - жуткие тормозные поделия пошли.