LINUX.ORG.RU

Уязвимости во FLAC


0

0

Известная группа в области компьютерной безопасности eEye Digital Security опубликовала 14 ранее обнаруженных уязвимостей в формате FLAC, предназначенном для сохранения аудиозаписей без потерь в качестве. При помощи специально сформированного файла удаленный пользователь может вызвать выполнение произвольного кода с привелегиями пользователя. Уязвимость может быть использована на множестве платформ, использующих libflac.

Уязвимости устранены в последней версии libflac1.2.1

>>> Подробности

★★★

Проверено: Shaman007 ()

Oh my baby, don't cry, oh my baby just say goodbye

anonymous
()

> Аудиофилы в опасности

Как тут говорили-то? - "Галактеко опасносте!" - Вот! :)

Ну вот фраз с ЛОРа нахватался... А по делу - кто им пользуется этим флэком вообще? Щас в основном мп3. Даже огг и тот не столь популярен.

hibou ★★★★★
()
Ответ на: комментарий от schakal

Это у тебя огг. А у меня и всех моих знакомых - ААС/AIFF.

anonymous
()
Ответ на: комментарий от schakal

Это у тебя огг. А у меня и всех моих знакомых - ААС/AIFF.

anonymous
()
Ответ на: комментарий от hibou

Радуйся! Врядли перегонял с SACD/DVD-Audio

anonymous
()

Может пора все-таки, пыщ-пыщ, с веществами? Уязвимости-то не в формате, а в libflac.

anonymous
()

Всё нормально, пофиксили же уже. Обычная такая себе уязвимость, зачем постить.

anonymous
()

Ну хорошо, допустим выполнили код с привилегиями ПОЛЬЗОВАТЕЛЯ дальше то что ?? ну если вы конечно не под рутом всегда сидите.

nt_crasher ★★★
()

Шаман, бери отпуск. Реальность больше располагает к логике, чем ЛОР. 4.2. в твоём исполнении уже надоедает.

anonymous
()
Ответ на: комментарий от gr_buza

Блуждающие в потемках да прозреют! да?

Пасиб!

hibou ★★★★★
()

> привЕлегиями

?

anonymous
()
Ответ на: комментарий от hibou

ну я пользуюсь флаком. не то чтобы форматы с потерями суть зло, но они являются источником потенциального гемороя.

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Да-да, молодцы, возможно, я просто редко что-то оцифровываю. В основном покупаю диски с mp3 и все. Не перегонять же их, правильно?

hibou ★★★★★
()
Ответ на: комментарий от nt_crasher

> Ну хорошо, допустим выполнили код с привилегиями ПОЛЬЗОВАТЕЛЯ дальше то что ?? ну если вы конечно не под рутом всегда сидите.

`rm -rf ~/` выполнить и все. Или ты свои документы под рутом правишь?

musha-route
()

Вот! Именно про такие дебильные уязвимости я и говорю в контексте критики пингвинукса - либа-то одна, да приложений много! И каждое тупо подставляется из-за кустарной поделки, которую не удосужились вылизать. Да может и не разработчиков вина, а самой концепции в целом: ВСЁ, ну просто до последней перделки завязано на уё_щном Си-пи-пи. Давно уже пора развивать что-то более безопасное и продуктивное - Оберон, C# - любой из них прекрасно поддержит mainstream. Пока нет хорошего языка и IDE, нечего даже заикаться про "вендекапец".

anonymous
()
Ответ на: комментарий от hibou

>Перегонял что ли? Это потеря качества.

Это только школьнеги что-то куда-то перегоняют. Или качают mp3-шки (которые "для ознакомления"). Зайди хоть на сайт Metallica (например) - продаётся в flac.

Led ★★★☆☆
()
Ответ на: комментарий от anonymous

отстрели себе йайтся на сишарпе, спаси лор от такого уебона

anonymous
()
Ответ на: комментарий от hibou

>А по делу - кто им пользуется этим флэком вообще?

Не подумавши сказал, щаз от аудиофилов отхватишь, это же сумасшедший народ, хуже красноглазых :)

dmitry_kuzmenko
()
Ответ на: комментарий от anonymous

>А у меня вообще вся музыка в TXT, в нотах. Вот где реально без потерь

Сразу видно "меломана": что ноты, что музыка - всё равно:) Ты слушаешь только ту музыку, которая "чётко по нотам" играется?

Led ★★★☆☆
()
Ответ на: комментарий от anonymous

> А у меня вообще вся музыка в TXT, в нотах. Вот где реально без потерь

И компрессия офигенная :)

anonymous
()
Ответ на: комментарий от anonymous

>ВСЁ, ну просто до последней перделки завязано на уё_щном Си-пи-пи.

Ой дурааак...

На си-пи-пи писаны только куте с кедами. Ядро и базовые приложения писаны на Си, разниу чуешь, нет? Развелось блин знатоков.

dmitry_kuzmenko
()
Ответ на: комментарий от keeper_b

>Я тоже подумал, зачем они это запостили в новость? :)

А пофлеймить? :)

dmitry_kuzmenko
()
Ответ на: комментарий от dmitry_kuzmenko

>Продайотса.... фи какая пошлость

ну, тогда бери ноты - напой себе бесплатно. Уверен, что ты разницы не заметишь:)

Led ★★★☆☆
()
Ответ на: комментарий от Led

>Сразу видно "меломана": что ноты, что музыка - всё равно:) Ты слушаешь только ту музыку, которая "чётко по нотам" играется?

Да, ты угодал, волосатых говнарей, которые зажимают гриф ладонью и лупят рандомно по струнам я не слушаю. Всю остальную музыку можно записать в нотном виде

anonymous
()
Ответ на: комментарий от dmitry_kuzmenko

> У Умки всё на сайте лежит, например

Тем не менее ничто не мешает ей на концере торговать дисками:) Причем далеко не бесплатно

vgudkov
()
Ответ на: комментарий от anonymous

> Всю остальную музыку можно записать в нотном виде

и голос? не все оттенки голоса можно передать нотами, не все...

anonymous
()
Ответ на: комментарий от vgudkov

>Причем далеко не бесплатно

Весьма недалеко, 50 тугриков за диск -- это не 300, у Арефьевой на концерте. И не об этом речь. С тебя никто не требует зажимать этот купленный диск от друзей. Копируй, распространяй... Некоммерчески :)

dmitry_kuzmenko
()
Ответ на: комментарий от anonymous

>Да, ты угодал, волосатых говнарей, которые зажимают гриф ладонью и лупят рандомно по струнам я не слушаю. Всю остальную музыку можно записать в нотном виде

О, очередной анонимный быдлокодер. я их узнаю по тому, что при намёке на творчество и импровизацию они начинают исходить жёлчью. мне это нравится - я хочу, что бы побольше быдлокодеров умерло от язвы:)

Led ★★★☆☆
()
Ответ на: комментарий от keeper_b

> Я тоже подумал, зачем они это запостили в новость? :)

это называется public disclosure
если пройти по ссылке то там открытым текстом написано что баги обнаружены в конце сентября, примерно тогда же тихо пофикшены, но широкой общественности этот факт преподнесен только теперь, когда основные пользователи libflac проапдейтились

или вас интересуют только zero-day bugs ?

anonymous
()
Ответ на: комментарий от Led

>я хочу, что бы побольше быдлокодеров умерло от язвы:)

прочитал как "умерло от Явы" :) Не смог не согласиться.

dmitry_kuzmenko
()

> 14 ранее обнаруженных уязвимостей в формате FLAC

Т.е. где-то нашли уязвимости и потом сконвертировали их в формат FLAC, так чтоли? Может уязвимости хотя бы в библиотеке, а не в формате?

Rikz ★★★
()
Ответ на: комментарий от hibou

>Ну вот фраз с ЛОРа нахватался... А по делу - кто им пользуется этим флэком вообще?

ГАЛАКТЕКО ОПАСНОСТЕ - это разве не с "Упячки"?

А FLAC-ом пользуются те, кто не пользуется форматами APE, TTA, WAVPACK и другими.

А кто пользуется Mp3 - слушают не музыку. Точнее так - эти звуки достойны только mp3. Музыка же бывает только lossless.

tommy ★★★★★
()
Ответ на: комментарий от tommy

> А кто пользуется Mp3 - слушают не музыку. Точнее так - эти звуки достойны только mp3. Музыка же бывает только lossless.

Чё, какие форматы, пацаны? У меня ростроповичи-мастроповичи каждый деньвживую на Канарах "мурку" играют. А вы тут базар про какой-то флак развели

anonymous
()
Ответ на: комментарий от anonymous

>более безопасное и продуктивное - Оберон, C# - любой из них прекрасно поддержит mainstream.

Что там продуктивного? С++ и С - создавались с оглядкой на реальное железо, поэтому и работают быстро и такой у них синтаксис. А всякие С# и жабы создавались в оглядке на мозг быдлокодера( в крайнем случае для узкой ниши), поэтому и тормозят безбожно, зато обезьянкам легче. Как было подавляющее большинство ПО на с / c++ написано, так и дальше будет, ибо немногим понравится платить производительностью за удобство быдлокодера.

anonymous
()
Ответ на: комментарий от hibou

> Щас в основном мп3. Даже огг и тот не столь популярен.

mp3 исключительно потому как плееры его понимают. А вообще ogg субъективно, по некоторым оценкам и объективно, при том же качестве дает лучшее сжатие.

skwish ★★
()
Ответ на: комментарий от tommy

> ГАЛАКТЕКО ОПАСНОСТЕ - это разве не с "Упячки"?

есть мнение, что это с лепрозория

Rikz ★★★
()
Ответ на: комментарий от anonymous

> Всё нормально, пофиксили же уже. Обычная такая себе уязвимость, зачем постить.

Так нормальных новостей мало, флейм поддерживать надо. Если бы на ЛОР'е публиковали только серьезные новости, причем с качественными анонсами, а не такими провокационными как сейчас, он бы утратил статус развлекательного портала.

skwish ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.