Vo VLC vážna bezpečnostná chyba

DSL.sk, 19.8.2008

V populárnom prehrávači multimediálnych súborov VideoLan, VLC, sa nachádza vážna bezpečnostná chyba, ktorá potenciálne umožňuje útočníkovi spustiť vlastný kód a získať kontrolu nad PC podvrhnutým audio alebo video súborom.

Chyba sa nachádza v kódeku implementujúcom formát True Audio a je typu pretečenia buffera v heape. Spôsobená je pretečením celého čísla.

Doteraz nebol zverejnený funkčný exploit, ktorý dokáže spustiť útočníkom zvolený kód, jeho existencia ale nie je vylúčená.

FrSIRT pridelil chybe vysokú závažnosť, tretí zo štyroch stupňov, Secunia konzervatívnejšiu úroveň stredne závažná, tretí stupeň z piatich.

Zraniteľná je aj posledná dostupní verzia VLC 0.8.6i, prehrávanie nedôveryhodných súborov tak cez VLC nie je odporúčané.




Najnovšie články:



Diskusia:

Nastastie VLC nepouzivam Od: Lambda | Pridané: 19.8.2008 11:17 Pouzivam KMPlayer a maximalna spokojnost Odpovedať Známka: -1.8 Hodnotiť:

Re: Nastastie VLC nepouzivam Od: KMPlayer FTW | Pridané: 19.8.2008 20:59 Presne tak! Ja som pouzival BSPlayer na "klasicke" videosubory a VLC na siet a odkedy som spustil KMPlayer, uz nepouzivam nic ine. Doslova kvadriliarda nastaveni, podpora vsetkeho mozneho a mimoriadne prijemne ovladanie. Okrem ineho, zvlada aj titulky vo vysokom rozlisen nezavislom od videa. Odpovedať Hodnotiť:

Re: Nastastie VLC nepouzivam Od reg.: wavevlna | Pridané: 19.8.2008 22:14 a ma ta aj vaginu? ja by som sa bez nej nezaobišiel.. Odpovedať Známka: -6.0 Hodnotiť:

xixixi Od: M4ST4 | Pridané: 19.8.2008 11:20 wsetki tieto prehrawace vlc foobar kmp bsplayer su onicom windows media player je najlepsi wsetki kodeki si stiahne sam Odpovedať Známka: -8.7 Hodnotiť:

Re: xixixi Od: MSm | Pridané: 19.8.2008 11:27 suhlasim s tebov Odpovedať Známka: -7.9 Hodnotiť:

Re: xixixi Od: jaaaaj | Pridané: 19.8.2008 11:34 Skus spustit DVD vo WMP bez kodekov na prehravanie DVDcka, ci si to stiahne a bez toho, zeby si za to cvakal ;) Odpovedať Známka: 7.1 Hodnotiť:

Re: xixixi Od: nekomimi_ga_suki | Pridané: 19.8.2008 11:47 S tým "WMP je najlepší" nesúhlasím. Už som odskúšal nejaké *.mkv a nešli mi dobre. A aj ten dizajn mi lezie na nervy. Používam Medía Player Classic a pripadá mi ideálny; jednoduchý, spoľahlivý, žiadny extravagantný dizajn. K tomu ffdshow, VSfilter, Haali Matroska Splitter a všetko, čo potrebujem spustiť, mi ide. Odpovedať Známka: 7.6 Hodnotiť:

Re: xixixi Od reg.: Pjetro de | Pridané: 19.8.2008 13:09 Uuuuuuplne suhlasim ... wmp je s prepacenim humusny grc, prepchaty hovadinami a miesto toho aby prehraval video robi bud nic alebo vsetko mozne len neprehrava video ... mpclassic je IHMO uz roky jeden z najlepsich playerov, ak si k nemu pridame kodeky a filtre ... a ked na nieco obcas nestaci (mp4), napomoze KMplayer. Odpovedať Známka: -7.5 Hodnotiť:

Re: xixixi Od: nekomimi_ga_suki | Pridané: 19.8.2008 13:22 To je zvláštne: "a ked na nieco obcas nestaci (mp4)". Mne tento formát prehráva Media Player Classic bez problémov (verzia 6.4.9.0). Odpovedať Hodnotiť:

Re: xixixi Od reg.: Pjetro de | Pridané: 19.8.2008 15:43 zrejme je to moja nevedomost, alebo lenivost ze nemam rozchodene mp4 na mpclassic Odpovedať Hodnotiť:

Re: xixixi Od: nekomimi_ga_suki_da | Pridané: 19.8.2008 15:56 Stačí si tam dať Options > Formats a tam si to vyhľadáte ako "MPEG4 file". Stačí zaškrtnúť a potvrdiť. Pokiaľ viem *.mp4 kontajnery mávajú video v H.264, na to stačí nainštalovať ffdshow (ten podporuje snáď všetko; DivX, XviD, H.264, WMV, MPEG a ešte mnoho ďalších). Odpovedať Hodnotiť:

Re: xixixi Od reg.: Pjetro de | Pridané: 19.8.2008 18:08 praveze ffdshow sa stranim, radsej nainstalujem nativne kodeky zvlast a titulkovy filter zvlast (VoSub ci pre mna este lepsi DivXG400) ... s ffdshow nemam dobre skusenosti, aspon s verziami starymi vyse rok ... odvtedy som ho neskusal ... Odpovedať Hodnotiť:

Re: xixixi Od: nekomimi_ga_suki_da | Pridané: 19.8.2008 20:58 Titulkový filter zvlášť mám aj ja, konkrétne VSFilter 2.37 (keďže bez problémov zvláda *.ssa a *.ass titulky vložené v *.mkv videách, kým ffdshow bol v tomto všelijaký). Pokiaľ ide o ffdshow, mám verziu asi z mája tohoto roku s podporou SSE a nemám s ním problém. Vyhovuje mi na ňom napr. to, že mi automaticky spustí anamorfné nastavenie rozlíšenia vo videu (napr. 704x480 z 852x480) v pôvodnom formáte (tých 852x480). Odpovedať Hodnotiť:

kodeky Od: meff | Pridané: 20.8.2008 9:57 vrele doporucujem CCCP - Combined Community Codec Pack. obsahuje vsetko co clovek na prehravanie videi (aj HighDef. samozrejme) potrebuje. Odpovedať Hodnotiť:

Re: kodeky Od: nekomimi_ga_suki_da | Pridané: 20.8.2008 10:46 Súhlasím, poznám. Len doplním, že prioritne to bolo zostavené na prehrávanie anime (najmä pre bezproblémové prehrávanie kontajnerov *.ogm, *.mp4, *.mkv). http://en.wikipedia.org/wiki /Combined_Community_Codec_Pack Odpovedať Hodnotiť:

Re: xixixi Od reg.: fafkac | Pridané: 19.8.2008 12:22 nic proti ale dobre si zadrel, WMP je uplne onicom, zbytocne to zerie ramku a funkcie nikde, skus si GomTV, ten sam osebe obsahuje kodeky, a mozem ti povedat ze funkcne mu WMP nesiaha ani po paty, a ako uz bolo napisane vyssie ked potrebujes prehrat video s viacerymi audio stopami tak ti je takyto prehravac tak na 2 veci a to nie len ohladom mkv formatu, tych formatov, ktoree ti prehra nanic WMP je viacej Odpovedať Známka: 10.0 Hodnotiť:

Re: xixixi Od reg.: Pjetro de | Pridané: 19.8.2008 13:12 WMP neprehra skoro nic! Ved kce este aj kodek na VOB !!! (DVD format videa) co ine prehravace defaultne zvladaju lavou zadnou ... WMP je od verzie 7 ukazka kusu totalne do...neho softu Odpovedať Známka: 10.0 Hodnotiť:

Re: xixixi Od: .:) | Pridané: 19.8.2008 13:27 noo .. ja pouzivam WMP v podstate uz dllho, resp. od verzie 9 :D a nemozem sa na neho hnevat ... teda co sa tyka prehravania hudby ..:D prefektna organizacia, kniznica .. a s videom ked mas K-Lite mega codec pack, tak ti prehra aj dvdcka, .. ale je pravda ze na video pouzivam Media plaeyr classic, proste je pefektny, maly ..:D takze asi tak ..:D na hudbu je WMP(11) mozno aj lepsi ako winamp .. ale na video nie je "da b3st" Odpovedať Známka: 3.3 Hodnotiť:

Re: xixixi Od reg.: Pjetro de | Pridané: 19.8.2008 15:42 sak proti gustu ziaden disputat Odpovedať Hodnotiť:

Re: xixixi Od reg.: Pjetro de | Pridané: 19.8.2008 13:20 t.j. inak povedane pridavam sa ku kritikom pre mna nepochopitelneho WMP :-) Odpovedať Hodnotiť:

Re: xixixi Od: DeeerDance | Pridané: 19.8.2008 12:28 heh, ty si ale expert... KMPlayer ma kodeky v sebe a ma take kvantum nadstaveni ze ich ani vsetky nepoznam, vlc je brutalne maly a rychly a perfektne prehrava nedotahane subory... pouzivat wmp po tom ako si pouzival lepsie playery je ako vbijat si zhrdzavene klince do tvare! Odpovedať Hodnotiť:

Re: xixixi Od: aleluja | Pridané: 19.8.2008 12:34 to mal byt vtip ze? :D lebo ak nie, tak odporucam nieco taketo: www.zzz.sk/?page=hladaj&typ=psychiatricka Odpovedať Hodnotiť:

xcvvvv Od: asdfg | Pridané: 19.8.2008 11:21 tak teraz si ma dostal :D dobry vtip hned po ranu na nezaplatenie :D Odpovedať Známka: 0.0 Hodnotiť:

KMPlayer Od reg.: MaxcoolSK | Pridané: 19.8.2008 11:21 ja tiez pouzivam KMPlayer.... a nestazujem sa :) Odpovedať Hodnotiť:

vulnerabilny vlc Od: .em | Pridané: 19.8.2008 11:31 Ako tak pozeram na milw0rme, tak VLC casto obsahuje nejake chyby (najma verzie 0.8.6)... Ale inac je to najlepsi prehravac ever ;] , spolu s klonmi mplayeru... Odpovedať Známka: 2.0 Hodnotiť:

Re: vulnerabilny vlc Od: yanick(logged out) | Pridané: 19.8.2008 12:26 Neviem, ci vetva 0.9 tiez obsahuje tuto chybu, ale vyzera zaujimavo, zmenilo sa gui a mne sa paci viac ako stabilna vetva 0.8.6 Tu sa da stiahnut: http://tinyurl.com/y8bgxs Je to vyvojova verzia, moze obsahovat chyby: "WARNING: The nightly builds are UNSTABLE and may not work at all. There is absolutely NO SUPPORT for it from the VideoLAN Team." Odpovedať Hodnotiť:

Re: vulnerabilny vlc Od: .em | Pridané: 19.8.2008 14:05 Ako unstable sa oznacuje vacsina nightly buildov [ked nie vsetky], ale ja ich rad pouzivam, pretoze pre mna je lepsi pocit mat o nieco viac funkcii ako official release. ;] Odpovedať Hodnotiť:

OT Redakcii DSL.SK Od: Leonidas | Pridané: 19.8.2008 11:41 Nebolo by vhodne aby sa komentare ohodnotene znamkou -10 nezobrazovali, alebo pripadne aby sa zobrazovali v zmensenej podobe (bez zobrazeneho textu). Podobny system funguje aj na youtube aj na slashdote. Odpovedať Známka: 2.7 Hodnotiť:

Re: OT Redakcii DSL.SK Od: Grg | Pridané: 19.8.2008 11:44 Naklikam ti 10 krat minusku a mam od teba pokoj. Odpovedať Známka: -8.0 Hodnotiť:

Re: OT Redakcii DSL.SK Od: Leonidas | Pridané: 19.8.2008 14:43 Ano. Presne tak som to myslel ;-) Odpovedať Hodnotiť:

Re: OT Redakcii DSL.SK Od: rmmmms | Pridané: 19.8.2008 15:47 a co by ti potom pravidelne zvysovalo adrenalin? Odpovedať Známka: 5.0 Hodnotiť:

Re: OT Redakcii DSL.SK Od: JFK........... | Pridané: 19.8.2008 18:41 Kam kurva zmizol moj prispevok o notifikaciach na mail? Co ma toto kurva znamenat?! Odpovedať Známka: -10.0 Hodnotiť:

Re: OT Redakcii DSL.SK Od: .......... | Pridané: 20.8.2008 21:07 your mum Odpovedať Hodnotiť:

chybicka Od: Josef K | Pridané: 19.8.2008 11:59 pri preklade asi doslo k chybe: "...posledná dostupní..." Odpovedať Známka: 3.3 Hodnotiť:

hmmmmmm Od reg.: fafkac | Pridané: 19.8.2008 12:23 ja mam nainstalovany VLC ale dako me osobne nesedi, hlavne sa nanom nedaju praimo nastavovat urcite funkcie ako nastavenie jasu kontrastu a podobnych veci priamo z klavesnice, ja preferujem GomTV a doteraz mi to neprehralo len ozaj par suborov, ale s tymi mal problem nejeden prehravac =) Odpovedať Známka: 3.3 Hodnotiť:

Re: hmmmmmm Od: DeeerDance | Pridané: 19.8.2008 12:39 jj GomPlayer je super, som ho pouzival dlho, ale presiel som na KMPlayer, oba prehravace dokazu mat titulky v ciernom pase dole, nie ako vlc, ale gom mi niekedy titulky nezobrazil, a u kmp som nasiel aj priamo konvertovanie titulkov pre iny fps ako boli originalne robene. ale musim povedat ze Gom bol krajsy a viac intuitivny skoda ze nema vsetko co kmp KMP & AIMP2 -> rulez Odpovedať Hodnotiť:

Re: hmmmmmm Od: kdoty | Pridané: 19.8.2008 13:25 no ked sa pozres do nastaveni vo vlc tak je tam moznost zmenit/pridat klavesove skratky takze si to nastavovanie jasu kontrastu a pod. mozes kludne spravit... Odpovedať Hodnotiť:

Re: hmmmmmm Od reg.: fafkac | Pridané: 19.8.2008 17:09 to je fajn ale nato som prilis lenivy a gom to uz v sebe priamo ma =) Odpovedať Hodnotiť:

DjDusko Od reg.: Duško | Pridané: 19.8.2008 12:25 Ja pouzivam Nero Show Time ... a ten je zatim zo vsetkych co som mal najlepsi ... berie vsetko Odpovedať Známka: -10.0 Hodnotiť:

Re: DjDusko Od reg.: Pjetro de | Pridané: 19.8.2008 13:18 to je mozne ... zrejme preto, lebo instalacka Nera sa za posledne roky zvacsila 20-nasobne ... myslim ze vo verzii 9 zabuduju podporu varenia kavy ... preboha sak je este nieco co Nero nerobi? Odpovedať Známka: 10.0 Hodnotiť:

Re: DjDusko Od: :-D | Pridané: 19.8.2008 13:26 operacny system :D Odpovedať Známka: 10.0 Hodnotiť:

Re: DjDusko Od: rms | Pridané: 19.8.2008 15:46 ale aj tak je instalacka vacsia ako visty Odpovedať Známka: 5.0 Hodnotiť:

PowerDVD Od: pipo tácik | Pridané: 19.8.2008 14:17 Ja mam PowerDVD 8 Ultra a som spokojny... =D Odpovedať Hodnotiť:

player Od: Jerry19 | Pridané: 19.8.2008 15:07 Zoom player Prehraje vsetko, DVD DVB-T aj teletext mam (DCDVBSource :) ), MKV, OGM, 3GP, HDMOV, atd. atd. Samozrejme v kombinacii s FFdshow si to vsetko moze mupscalingovat, postprocesing zapnut, mierne obraz priostrit, normalizovat zvuk atd. :) Alebo jednoduchsi Media player classic (ktory ma aj nejake svoje interne kodeky). No a asmozrejme v kombinacii s FFDShow, Matroska SPliter-om, open source mpeg2 splitter, a open source mpeg2 dec atd. Z playerov ktore maju na vsetko svoje vlastne interne kodeky shledavam byti zajimavimi: GOM Player SMPlayer (GUI na mplayer, ak nieco neprehraje mplayer tak to neprehraje nic) VLC je fayn ale ma biednu podporu titulkov (latterbox) a teraz nedavno sa objavila zavazna bezpecnostna xyba v nom, ael je pekne na nom ze sa da streamovat video, alebo telka v LANke atd. Odpovedať Hodnotiť:

hahaha Od: Astaroth777 | Pridané: 19.8.2008 16:10 Jednoznacne KM player ...nie o com debatovat Odpovedať Hodnotiť:

Za poslednú hodinu: 1006 meraní Od reg.: webnick: | Pridané: 19.8.2008 16:24 Napisat do diskusie o VLC playeri "Ja pouzivam ... a som velmi spokojny" (za tri bodky dosadime lubovolny player ktory dotycny onanista pouziva) je vysoko fundovane. Skutocne. Odpovedať Hodnotiť:

Re: Za poslednú hodinu: 1006 meraní Od: Bozzzzz | Pridané: 19.8.2008 17:08 Ja mam VLC media player a pouzivam ho na secko iba niektore MP3 blbnu na to mam Winamp. VLC je na 6!!!! platforiem http://www.videolan.org/vlc/features.html si kukni voe kolko formatov prehra...ma vela bugov ale dekoduje ti aj intergalakticku televiziu 3 Odpovedať Hodnotiť:

Re: Za poslednú hodinu: 1006 meraní Od: Bozzzz | Pridané: 19.8.2008 17:10 este to aj streamuje... ja si cez to nahravam radio Odpovedať Hodnotiť:

Re: Za poslednú hodinu: 1006 meraní Od: alibaba40 | Pridané: 19.8.2008 17:14 "Ja pouzivam" akykolvek player z menovanych aj nemenovanych podla potreby - vychvalovat jeden soft a hanit iny je priznakom minimalne miernej dusevnej obmedzenosti alebo zjavnou ukazkou ze dotycny ma hovno na praci a nic neznamena..., tak sa aspon tu moze predviest (plati aj na inych diskusiach k inym temam). Jedine s cim sa da suhlasit je - "jednoduchsi" v podstate jednoucelovy soft ktory ma po instalacii 150-500 mega treba zvysoka osr**..... Odpovedať Hodnotiť:

Re: Za poslednú hodinu: 1006 meraní Od: Bozzzz | Pridané: 19.8.2008 17:25 ja nechapem co sa v tych 500 mega moze nachadzat... jedine zeby nejake uber porno gratis aby bolo viac stiahnuti Odpovedať Hodnotiť:

GOM player je najlepsi Od: bozz45 | Pridané: 19.8.2008 16:58 Najslepsi je aj tak GOM player, mozno menej znamy, ale kam sa nan hrabu tie VLC, MPclassic, BSplayer a podobne... vsetky som uz vyskusal a z vlastnych skusenosti odporucam GOM. Odpovedať Známka: 3.3 Hodnotiť:

vlc - video lan Od: marek1231 | Pridané: 19.8.2008 18:52 Kazdy prispevok "ja pouzivam ..." je mimo, kedze vlc je hlavne player pre prehravanie multicasov - na to bol vytvoreny. Neviem o inom playery, ktory dokaze nacitavat sap playlist a da sa pouzit ako prehravac multicastovych streamov v LAN sieti. Prosim od vsetkych expertov podporujucich WMP a dalsie alternativne prehravace nech mi napisu, ktory toto dokaze. Rad odskusam a vymenim za vlc. Okrem ineho vlc sa da v linuxoch pouzivat ako command line na nahravanie, transformovanie, streamovanie videa ci uz ako multicast alebo rozne typy unicastov. Odpovedať Hodnotiť:

Re: vlc - video lan Od: anonym | Pridané: 19.8.2008 20:10 nj...to je tak ked ludia nechapu naco veci sluzia... teraz uz mozeme len cakat, kedy niekto na tvoj prispevok zareaguje hlaskou typu: "koho trapi nejaky command line na linuxe. windows roxxxx!!!11!!11!" Ja osobne som linuxak a k windowsu sa vracat nechystam... aha... akosi som odbocil od temy... pouzivam VLC a som s nim velmi spokojny A este tym ludom, ktory tvrdia, ze WMP je najlepsi... myslim, ze vy hadam pouzivate este aj IE a plno defaultnych windowsackych veci... ludia...otvorte oci.... mozno tie produkty Microsoftu nie su take zle, ale existuje plno ekvivalentov, ktore su lepsie, alebo aspon take ako Microsoftacke a nie su ani zdaleka tak narocne (myslim na hardware)... Odpovedať Hodnotiť:

ggggg Od reg.: Nakashima | Pridané: 19.8.2008 20:38 No Vlc...keby tam neboli tam tie bezpečnostne chyby...ale je jeden z najlepsich.prehrava takmer vsetky formaty(mne vadi len horsia podpora *.flv),je rychly,ma zakladny koder formatov, streamovanie...a navyse je multiplatformny. Nie ako WMP je pomaly a prehra toho biedne a ma vseliake kraviny typu odoslite informacie spolocnosti MS :D. Na audio doporucujem Media monkey(MS), Amarok (Linux)...wmp kniznica je na tri hovna...A K-Lite Mega Codec Pack to isti s MPC...alebo Mplayer+Mencoder. Odpovedať Hodnotiť:

slovensky, nie anglicky prispevok Od: Slovak na slovneskom serveri | Pridané: 19.8.2008 21:02 "pretečenia buffera v heape" WTF?? Ok, pouzijem anglicke slovo. Ok, pouzijem slovensky ekvivalent (halda vam nic nevravi?) a mozem si s nim robit co chcem. Ale pouzit anglicke slovo a vysklonovat ho? Mimochodom, halda je uplne normalna, zakladna datova struktura. Akoze zachvilu sa tu dockame, ze sa bude pisat namiesto zasobnika "v stacku", namiesto pamate sa napise "potrebujete 512 MB memorii"? Mozno sa tu aj dockame "v arrayoch" alebo "musite vyplnit vsetky requirovane fieldy"... Odpovedať Hodnotiť:

Re: slovensky, nie anglicky prispevok Od reg.: Pjetro de | Pridané: 20.8.2008 8:03 sak jasne ... u nas vo firme je to bezna vec ... - cekni - forvardni - nasedapuj - loadni - sejvni - atacni, detacni - brejkni ci ine ovela krkolomnejsie Odpovedať Hodnotiť:

Re: slovensky, nie anglicky prispevok Od: nekomimi_ga_suki_da | Pridané: 20.8.2008 8:59 Tieto hybridy znejú hrozne... čo tak viac úcty k slovenčine? Odpovedať Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: quix_ | Pridané: 20.8.2008 13:43 ok necital som diskusiu lebo to vyzera na kvalitne zvasty wmp vs other, ale mam na windowsakov otazku. ktory z genialnych prehravacov dokaze prehravat video z ftpcka bez toho aby si ho najskor musel stiahnut? z vlastnej skusenosti viem ze to vlc bez probleov zvlada, v linuxe zatial bez problemov funguje len dragonplayer na taketo veci. Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: usain | Pridané: 21.8.2008 20:35 kurva to fakt dokaze, no dpc a ja ho pouzivam len na dvdcka, na ostatne GOMPlayer, nenapises v skratke ako Odpovedať Hodnotiť:

Pridať komentár