Выпущены 0day-эксплоиты для обработчиков мультимедиа

Заголовок желтый.

Уязвимость не относится к chrome.

Подготовлено два эксплоита. Первый оформлен в виде файла с расширением mp3 и позволяет выполнить код атакующего при копировании на рабочий стол или открытии каталога с файлом в файловом менеджере. Второй эксплоит поставляется как flac-файл, который в Fedora достаточно открыть в браузере Chrome (файл автоматически сохраняется на рабочем столе)

Хром лишь сохраняет файл при его открытии. То же самое делает и Firefox (в следующей версии его научат воспроизводить такие файлы). Уязвимость находится в обработчиках мультимедиа.

В Windows подобную (только там были ярлыки, которые при открытии каталога Проводник грузил в память, что-то с ними делал и исполнял вредоносный код) уязвимость устранили несколько лет назад.

Заголовок поправил.

Разве новость ещё актуальна?

Решето?

Fedora

Ubuntu

Не удивлён.

Пробовал воспроизвести на Fedora 25. Не получилось. Наверное, ЧЯДНТ.

ни у топикстартера, ни по ссылке явно как-то не указывается, в какой именно библиотеке уязвимость, судя по всему в gstreamer

Даже не в ней а в плагине который играет музыку snes (да да нинтендовской приставки) эмулируя... snes процессор

на самом деле проблема в gstreamer, куда насовали дырявых обработчиков для древних медиаформатов.

имена пакетов явно называть надо

GStreamer слишком огромен. Даже open source фильтр для hw воспроизведения h264 на Apple TV второго поколения в нем изначально реализован, а потом уже по XBMC/FireCore растащен

Молодец какой. Это он мстит за то, что его фтп дырявили?

РЕШЕТО

4.2
Это когда его дырявили то? На ЛОРе последняя новость за 2011 год о дырявом хостинге исходников.

Крис Эванс, автор защищённого FTP сервера vsftpd, и эксперт по безопасности, опубликовал эксплоиты 0 дня

чтобы любой школьник мог «взломать»? Прям Chaotic Evil

Я думал выполнять произвольный код и иметь доступ ко всему, к чему его имеет броузер, можно просто яваскриптом. Никаких уязвимостей не надо. Броузер + жс это уже уязвимость.

ни у топикстартера, ни по ссылке явно как-то не указывается, в какой именно библиотеке уязвимость, судя по всему в gstreamer

libgme (game-music-emu)

Я думал выполнять произвольный код и иметь доступ ко всему, к чему его имеет броузер, можно просто яваскриптом.

буйная у тебя фантазия.

решетооооооо

Запуск vlc привел к Segmentation fault ну... про конкретные либы он не говорит.

Запуск с валгриндом высрал кучу сообщений про snd_config_hook_load (in /usr/lib/i386-linux-gnu/libasound.so.2.0.0)

кстати, по ссылке не указывается что за версия libgme используется, но в 0.6 такого кода вообще нет. видимо, в гстримере что-то дремучее.

GStreamer — ужасная свалка говнокода. Открытый проект, который вызывает стыд и смятение.

Собственно, не мудрено, что он полон уязвимого boilerplate-кода.

P.S. http://www.opennet.ru/opennews/art.shtml?num=45700

У меня про либгме тоже есть сообщения, ща на пастебин выложу. Оно чот по разному, то падает то не падает а подвисает.

Простым смертным бояться и спрашивать «что делать?», или проходим дальше?

простым смертным пользоваться адекватными плеерами вместо гстример, и не соглашаться ставить пакеты gstreamer*ugly*

Так 2011 недавно был.

GStreamer — ужасная свалка говнокода. Открытый проект, который вызывает стыд и смятение.

Ты вполне можешь это исправить. Много тут народу найдется чтоб JPEG2000 энкодер написать? Это вам не в доту шпилить.

+1

Chrome/Chromium, например, использует ffmpeg, а не GStreamer.

https://www.chromium.org/audio-video

Ещё одна причина перейти с Firefox, где этот небезопасный GStreamer используется на Chrom{e,ium}

Текст новости - мастер-класс по высасыванию из пальца. «А уж если это... а если то!.. Да вообще руткит!»

Нет, спасибо. То, что другие проекты тянут псевдозависимости GNOME (GLib, GStreamer), в собственные проекты, а потом плачут об уязвимостях — это исключительно их проблемы.

Дык дырка была не в нем(давно или не давно), а в сервере где были опубликованы исходники. И GPG добросовестно материлось. Так что не было :)

user@time-machine ~ $ eix gstreamer | grep Installed
user@time-machine ~ $ 

Значит у меня не заработает?

Там еще tracker-extract надо вырубить

Подготовлено два эксплоита. Первый оформлен в виде файла с расширением mp3 и позволяет выполнить код атакующего при копировании на рабочий стол или открытии каталога с файлом в файловом менеджере. Второй эксплоит поставляется как flac-файл, который в Fedora достаточно открыть в браузре Chrome (файл автоматически сохраняется на рабочем столе). В первом случае атака проводится через процесс gnome-video-thumbnailer, создающий эскиз с пиктограммой, а в втором случае используется процесс tracker-extract, автоматически собирающий метаданные новых файлов.

tracker-extract

Это специфичная для GNOME штуковина? У меня такого процесса нет.

Хрен знает, в комментах пишут что в gnome/xfce идет в комплекте. Я вообще подобную ересь не ставлю, лишний раз диском шуршит.

https://www.rapid7.com/db/modules/exploit/unix/ftp/vsftpd_234_backdoor

Ещё одна причина перейти с Firefox, где этот небезопасный GStreamer используется на Chrom{e,ium}

На самом деле, еще одна причина использовать нормальные дистрибутивы, где гномоговно можно удавить в зародыше:

$ equery u firefox
[ Legend : U - final flag setting for installation]
[        : I - package is installed with flag     ]
[ Colors : set, unset                             ]
 * Found these USE flags for www-client/firefox-50.0.2:
 U I
 - - bindist              : Disable official Firefox branding (icons, name) which are not binary-redistributable according to upstream.
 - - custom-cflags        : Build with user-specified CFLAGS (unsupported)
 - - custom-optimization  : Build with user-specified compiler optimizations (-Os, -O0, -O1, -O2, -O3) from CFLAGS (unsupported)
 - - dbus                 : Enable dbus support for anything that needs it (gpsd, gnomemeeting, etc)
 - - debug                : Enable extra debug codepaths, like asserts and extra output. If you want to get meaningful backtraces see https://wiki.gentoo.org/wiki/Project:Quality_Assurance/Backtraces
 - - gmp-autoupdate       : Allow Gecko Media Plugins (binary blobs) to be automatically downloaded and kept up-to-date in user profiles
 + + gtk2                 : Use the cairo-gtk2 rendering engine
 - - hardened             : Activate default security enhancements for toolchain (gcc, glibc, binutils)
 + + hwaccel              : Use hardware-accelerated rendering
 - - jack                 : Add support for the JACK Audio Connection Kit
 + + jemalloc             : Enable or disable jemalloc
 + + jit                  : Enable just-in-time compilation for improved performance. May prevent use of some PaX memory protection features in Gentoo Hardened.
 # куча локалей
 - - pgo                  : Add support for profile-guided optimization using gcc-4.5, for faster binaries. This option will double the compile time.
 - - pulseaudio           : Add support for PulseAudio sound server
 - - skia                 : Enable the SKIA engine for 2D rendering as an alternative to cairo
 - - startup-notification : Enable application startup event feedback mechanism
 + + system-harfbuzz      : Use the system-wide media-libs/harfbuzz and media-gfx/graphite2 instead of bundled.
 + + system-icu           : Use the system-wide dev-libs/icu instead of bundled.
 + + system-jpeg          : Use the system-wide media-libs/libjpeg-turbo instead of bundled.
 + + system-libevent      : Use the system-wide dev-libs/libevent instead of bundled.
 + + system-libvpx        : Use the system-wide media-libs/libvpx instead of bundled.
 + + system-sqlite        : Use the system-wide dev-db/sqlite installation with secure-delete enabled
 - - test                 : Workaround to pull in packages needed to run with FEATURES=test. Portage-2.1.2 handles this internally, so don't set it in make.conf/package.use anymore
 - - wifi                 : Enable wireless network functions

Бэкдор в FTP-сервере vsftpd
http://scarybeastsecurity.blogspot.com/2011/07/alert-vsftpd-download-backdoor...
для Ъ

$ gpg ./vsftpd-2.3.4.tar.gz.asc
gpg: Signature made Tue 15 Feb 2011 02:38:11 PM PST using DSA key ID 3C0E751C
gpg: BAD signature from «Chris Evans <chris@scary.beasts.org>»

Для тех кто в танке: Автор выложил исходники на площадку, выложил подпись. Злоумышленник подменил исходники. Подпись не подменил. Подпись не проверяется. Вывод: код не авторский, дырки в сервере нету. Дырка есть на площадке. Кто собирал не проверяя подпись - ССЗД.
Печь торт по измененному рецепту и потом жаловаться автору оригинального - каким дебилом нужно быть?

открываю mp3шку в убунте 14.04, кликаю, ритмбокс тупит, потом предлагает скачать плагины gstreamer1.0-plugins-bad, gstremer-plugins-bad (i386) с красными восклицательными знаками, кнопкой Отмена по умолчанию, но включенными галочками. Кликать Установить не стал.

в тотеме та же фигня, в VLC ничего не произошло

охренеть.

две недели как автор расписал у себя в блоге с гордостью и подробностями как это всё работает и какими кривыми руками этот весь гномодекстоп сделан, как вдруг новость про нольдей.

посту три дня на сайте, это 3-day как минимум уже :/

Chaotic Good же.

Для тех кто в танке:

Для тех кто в танке. Это единственная уязвимость которую нашли за все время vsftpd?

в тотеме та же фигня, в VLC ничего не произошло

Брата проверил?

Как всегда, sudo apt-get update && sudo apt-get upgrade. И делать это регулярно, а не только после новостей на ЛОРе.

Не, лучше sudo dnf remove gstreamer.

А где комменты про rust?

можно подумать unsafe блок в расте просто так есть.

В условиях задачи фигурировал «простой смертный». Простые смертные нынче поголовно на убунте (а кто не на убунте те мнят себя продвинутыми рачебогами :), так-что apt-get. И, как я понял, удаление даже одной libgme в убунте понятент за собой кучу пакетов (вот что мешало сделать её рекомендуемой, а не требуемой? видимо очень нужная либа), думаю с gstreamer всё ещё хуже.