>2asaw: Ну ведь это бред.... Я думаю, что сделать патч, который раз и
>навсегда
>не доводил к переполнению буфера в mpg123, заткнет такие отмазки
> антивирусописателей. Нахрена вообще проверять mp3 на такую лажу?
>Не проще ли убрать баг в плеере который в исходных кодах, к тому же
>это не на всех версиях работает?

Я полностью согласен. Просто некоторые здесь хотели "авторитетного" мнения по этому вопросу, вот я и привёл одно. Лично я презрительно отношусь к людям, которые строят свой бизнес на вирусах (т.е. написании антивирусов), но это другая тема. Просто здесь обсуждался "универсальный червь", который на поверку оказался рядовым exploit'ом.

Оставляя на совести GOBBLES якобы имеющее место глобальное заражение пиринговых сетей, хотелось бы отметить, что уязвимость в mpg123 имеет место быть. В результате выполнения кода удаляются все файлы в домашней директории юзверя (абсолютно верно была приведена ссылка на Рейн Фореста). Кроме того, в bugtraq многоуважаемый ZARAZA опубликовал ответ GOBBLES. Позволю себе его процитировать:
---------------
Dear gobbles@hushmail.com,


Beside all the noise: it's trivial stack overflow due to invalid maximum
frame size calculation in mpg123. Maximum frame size is defined to be
1792 (mpglib/mpg123.h) and 1920 (common.c where overflow probably
actually occures). Gobblez construct frame (160 * 144000)/8000 + 1 - 4 =
2877 bytes. Maximum frame may be constructed is probably (384 *
144000)/16000 + 1 - 4 = 3453 bytes. Redefining MAX_INPUT_FRAMESIZE to
4096 should probably fix the problem. mpg123.h (not one from mpglib, but
one from mpg123 itself) already has MAXFRAMESIZE defined as 4096. It
also could be nice to add fr->framesize check. Fix below. I'm too lazy
to test it.

If there are any programs using same mpglib they are vulnerable too.

--- common.old 2003-01-15 20:18:14.000000000 +0300
+++ common.c 2003-01-15 20:25:26.000000000 +0300
@@ -140,7 +140,7 @@
* -1: giving up
* 1: synched
*/
-#define MAX_INPUT_FRAMESIZE 1920
+#define MAX_INPUT_FRAMESIZE 4096
#define SYNC_HEAD_MASK 0xffff0000
#define SYNC_HEAD_MASK_FF 0x0000f000
#define LOOK_AHEAD_NUM 3
@@ -237,6 +237,8 @@
}
}
else {
+ if(frameInfo.framesize > MAX_INPUT_FRAMESIZE) return 0;
+
if(!rds->read_frame_body(rds,dummybuf,frameInfo.framesize))
return 0;

--Monday, January 13, 2003, 9:23:18 PM, you wrote to bugtraq@securityfocus.com:

ghc> Affected Software: mpg123 (pre0.59s) http://www.mpg123.de


--
~/ZARAZA
You know my name - look up my number (Beatles)

2McMCC >У кого-нибудь этот exploit для mpg123 0.59s работает? >У меня валится в сегфаулт и нихрена не пашет....

>McMCC (*) (2003-01-15 04:03:01.569)

Пашет, блин. Пока я по телефону говорил он мне - пять секунд отсчета, и ..... rm -rf ~. Эх, говорила мне мама, не работай сынку под рутом :-( Вот такой я идиот.

P.S. Дистриб RH 7.2, mpg123 0.95s - свежескаченнособранный

>Имеется в виду какая-либо конкретная уже зарелизенная версия mpg123 на мой
>выбор.
>green (*) (2003-01-14 19:38:04.716)

И будет стоять на 95% компьютеров...

Ну давали же ссылку на высказывание Rain Forest Puppy. Неужели так трудно было прочитать?

So yes, there is a mpg123 vulnerability in the latest development version (which some linux distros ship). The latest stable version (0.59r) seems to be OK for the moment.

Впрочем Луи Пастеры всегда были в цене. :)

А я mpg321 юзаю...

Дрожу от страха и запускаю xmms,mpg321,... от nobody :)

Я математик, так что подобные вещи выдаю без травы :-)
Насчет EULA - вроде, проскакивала тут такая новость.
Да и недавно в статье на каком-то новостном сайте (лень
просматривать историю, так что точно не скажу, где) была
статья, а затем комментарии двух лавочек, одна из которых -
российский филиал мелкоглюка. И там было написано что-то
вроде "Мы не позволяем ставить открытосырцовые программы,
поскольку они глючные, и мы не хотим, чтобы люди думали,
что это глючат форточки".
И еще насчет противоречий:
1. Согласно булле, получив зараженный MP3, я получаю право
безнаказанно атаковать сайт RIAA :-) Впрочем, атаковать я не
слишком умею, но думаю, что если найдется миллион таких вот
как я и мы все вместе запустим ping riaa.com, что-то да
случится :-) Может быть :-)
2. Доказательством в суде не может быть список, состоящий из
имен файлов и их тэгов. В таком случае человек, получивший
повестку, может быстро стереть оригинальные файлы и записать
пробы своего голоса, обозвав их по странному. И после этого
долго смеятся :-)
3. Троян не будет популярен. При всех наворотах (бинари и сырец
под все платформы, лицензия, мануалы по инсталляции :-) ) троян
сам будет весить под пару метров, так что человек, увидевший по
поиску десять файлов с размером 2 мега, и один файл с размером 5
мег, поймет, что тут что-то не то...

P.S. Так кто-нибудь все-таки напишет, что такое p2p?

p2p - Peer-To-Peer. В основном сети для обмена музыкй, видео. Но лежит там софт, картинки (приличные и не очень). и пр. кстати, давайте их крытым вирусом заразим всю порнографию! Сети(вернее, названия клиентов) - kazaa, eDonkey, MX, Gnutella(не знаю - у нее своя сеть или работает с другими). Есть еще DCC++ (или DC+ или DC++ или DCC+) - пробовал запускать, но у меня "выполняло любимую операцию и..." - есть подозрения, что ей Ирка нужна

p2p - Peer-To-Peer. В основном сети для обмена музыкй, видео. Но лежит там софт, картинки (приличные и не очень). и пр. кстати, давайте их крытым вирусом заразим всю порнографию! Сети(вернее, названия клиентов) - kazaa, eDonkey, MX, Gnutella(не знаю - у нее своя сеть или работает с другими). Есть еще DCC++ (или DC+ или DC++ или DCC+) - пробовал запускать, но у меня "выполняло любимую операцию и..." - есть подозрения, что ей Ирка нужна

Точка-точка, сети, где нет основного сервера.

> Давай лучше так: я плачу пять американских рублей плюс две банки пива > на выбор, а ты прыгаешь с парашютом с телебашни, идет?

Не идет. Я никогда не интересовался прыжками с парашютом. Это намек на недостаточно высокую оплату? Дык, я назвал ту сумму, с которой могу расстаться без сожаления, чтобы удовлетворить мою маленькую прихоть: пустяшное любопытство.

http://www.securitylab.ru/?ID=35351

>> рямое предложение всем здравомыслящим людям переходить на формат OGG Vorbis
> Анонимусы в своем репертуаре...

Хм. Современный софт понимает оба этих формата, OGG позволяет получить лучшее качество звука при том же размере файла (ладно, чтобы не спорить на эту тему скажем так - при том же размере качество примерно одинаковое), и при этом использование формата OGG свободное, а за сам формат MP3 приходится или придётся заплатить. В общем, OGG выигрывает. Какое напрашивается решение? Конечно же продолжать использовать привычный MP3! Да, это не разумное решение, но зачем пользоваться разумом по пустякам? :-)

Имхо хоть новость и может быть уткой но поднимает вполне имеющие место быть вопросы. Разбирая однажды попавшего в руки червя я просто ужаснулся от того как он сделан. Все сделано кое-как из лоскутков надерганых отовсюду. Наколенках и с кучами кривизны и глюков. Но что самое главное этот червь работал. А уж на исходники всяких ДДОСов посмотрите. Ни в жизнь бы неповерил что это может работать. Но работает же. А если за черве-строение возмутся на хорошо финансируемой основе то при наличии эксплоитов, червя вполне могут и сделать. И права у них я думаю найдутся. Свои компании америкосы всегда поддержат. Тем более RIAA. Этож прибыльный бизнес. Американцы фильмы делают, музыку там, программы разные. И все это у них покупают расплачиваясь отнюдь не таким эфимерным товаром. Так-что закон имеет все шансы пройти. А то что у вас в стране такого закона нет. Кого ебет что в африке нет закона по которому можно террористов мочить ракетами без суда и следствия. Никого. На а чем вы тогда лучше африканских обезъян. Да ничем с их точки зрения. Ну а если можно будет ДОСы проводить которые потенциально могут для вас потерей данных или денег обернутся, то уж о такой мелочи как утаскивание у вас информации и речи не идет. Еслиб было бы можно у вас номер кредитки утянуть, то они бы еще и деньги с радостью по составленому списку у вас бы сами позаимствовали. Интернет сейчас дикий, как дикий запад. Потому и законы тут дикие. Но вообщем врядли это продлится вечно.

Когда расскажешь как они обеспечать бинарную совместимость линукса и
виндов, мы сразу начнем бояться.

покажите хоть 1 файл... пока ничего нет физически - все текстами с угромзами полные понты...

Крутой ogg... Я тут скачал в ogg'е концерт Jefferson Airplane - качество дерьмо редкое. Понимаю, что с концерта на старой аппаратуре больше не утянуть, но нах такой объем? Битрейт - 480(!), а перегнанный в mp3 132bps ничего не потерял(кроме почти 3/4 объема).

:-) А можно было кроме эмоций привести какие-нибудь факты для сравнения форматов? Кратко смысл твоего письма сводится к следующему: "OGG? Гадость. Потому что я видел запись в OGG, сделанную со слишком большим битрейтом". Ну и? Где логика? :-) Чтобы сравнивать форматы нужно было сравнивать качество записей одинакового размера, или размеры записей одинакового качества. Например ты мог бы сконвертировать ту же запись и в MP3, и в OGG меньшего битрейта и сравнить результаты, тогда можно было бы делать какие-то выводы.

Да я бы на их месте не заморачивался с бинарным кодом для обоих систем. Для солидного эффекта среди ламеров/гамеров хватит и винды. А уж про маргиналов на линуксе можно забыть. Как забиваем на нескольких тараканов сбежавших от подложеного им яду когда 99% остальных сдохло.
А эксплоит на две системы в принципе возможен. Если например ошибки найдены в обработке фреймов mp3 и там и там, то просто в один фрейм валится эксплоит для Линуха а в другой для винды. Или например эксплоит для Винды использует багу в обработке Тега плэером, а линуховый содержится непосредственно в потоке. Сделать такое вполне возможно при достаточном финансировании и наличии известных багов.
Может я и несилен в истории, но насколько помню моррисоновский червь как раз работал в свое время на нескольких совсем разных платформах.

Просьба только не думать что я Линукс не люблю. Но Линух на десктопе у потенциальных любителей покачать mp3 однозначно вещь мало распространенная.
Меня больше интересует вопрос как всевозможные антивирусы будут реагировать на таких троянов если их когда либо сделают. С одной стороны мочить надо бы, а с другой стороны они с RIAA могут и договорится.

В OGG битрейт переменный, там даже в кодеке (oggenc) выставляется только качество

OGG

Да, битрейт переменный, но есть понятие номинального битрейта, про него я и говорил. Кстати, в oggenc можно указать не только качество, но и этот номинальный битрейт, а ещё кажется минимальный и максимальный битрейты.

OGG

Сравнение форматов есть на сайтах типа websound.ru А высокий битрейт никогда не улучшит качество звука, изначально низкое. Так что нет смысла писать концерты в 320bps.

Вы лучше посмотрите, какие масштабы у RIAA:

http://www.riaa.com/pdf/Ident_brochure.pdf

Страница 3, справа. Я В ШОКЕ!!!

Как защититься от подобных хаков?

Да вроде бы все просто - всем программам нужно урезать права до разумного минимума.

Ведь доверять можно только собственноручно написаной программе, а мы запускаем программы, написаные посторонними людьми, как свои собственные, в итоге и огребаем... А надо бы урезать им права: разрешить чтение только определенных файлов, запись только в определённые файлы и каталоги, установить дисковые квоты, лимиты на % использования процессоров, памяти, разрешенное время работы, урезать доступ к сетевому стеку, другим программам... Проще всего применить эти ограничения к некоему псевдопользователю - заводить под каждую недоверенную программу отдельную учётную запись и устанавливать в ней эту программу.

Что сможет сделать mpeg123 плеер, запущенный в таком "застенке"? Только матюкнуться в динамик :)

Но в какой операционной системе есть ли удобная встроенная подсистема и утилиты управления таким доступом? Возможно ли вообще реализовать защищённую ОС на i386? Вот в чём вопрос.

С уважением, Кремок Владимир