forum.opennet.ru - "В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей" (74)

"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"	+/–
Сообщение от opennews (?), 20-Дек-24, 12:44
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 29 уязвимостей. Восемь уязвимостей приводят к записи данных за пределы буфера, а одна (CVE-2024-47540) к перезаписи указателя на функцию. Указанные уязвимости могут потенциально использоваться злоумышленниками для организации выполнения кода при обработке некорректно оформленных мультимедийных данных в форматах MKV, MP4, Ogg, Vorbis и Opus, а также субтитров в формате SSA. Остальные уязвимости приводят к разыменованию нулевого указателя или чтению из области памяти за границей буфера, т.е. могут использоваться для инициирования аварийного завершения... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62441
Ответить \| Правка \| Cообщить модератору

Оглавление

Зато легче для кодера чем ффмпег , Афроним (?), 12:44 , 20-Дек-24, (1) +2

Конечно легче - вон насколько оно перфорированно Зато потешатся любители эконо, Аноним (-), 16:24 , 20-Дек-24, (37) –1

Сишные указатели , Аноним (2), 12:50 , 20-Дек-24, (2) +5

Тебе что взломали через них , Аноним (16), 13:19 , 20-Дек-24, (16)

Brain, Аноним (51), 17:10 , 20-Дек-24, (51) +1

А, всё прочее - не указатели, учим матчатсть , Аноним (19), 13:28 , 20-Дек-24, (19)
Указатели есть везде, даже в Паскале Просто не все их показывают , Аноним (51), 17:12 , 20-Дек-24, (53) –2

Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно н, Аноним (102), 20:39 , 20-Дек-24, (102)
Я б сказал, не все доверяют программисту работать с указателями так, как тому за, Аноним (-), 21:00 , 20-Дек-24, (106)

нахрен gstreamer кстати есть же ffmpeg , Аноним (3), 12:50 , 20-Дек-24, (3) +1

ffmpeg нельзя поставлять в сша ибо патенты на мпег сказочная хрень, но факт В, Аноним (7), 13:06 , 20-Дек-24, (7) +3

вас там двое в одной голове второй кстати прав, Аноним (12), 13:11 , 20-Дек-24, (12)

а это для первогоhttps theirstack com en technology ffmpeg us, Аноним (12), 15:25 , 20-Дек-24, (29)

а че, как с freetype нельзя в их сша-френдли репах поставлять ffmpeg без поддер, Аноним (3), 13:12 , 20-Дек-24, (13)

Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что так, Аноним (11), 13:10 , 20-Дек-24, (11)

Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переи, Аноним (4), 12:51 , 20-Дек-24, (4)

Из eng wiki TinySPARQL is a general-purpose SPARQL-based database В debian tes, Аноним (14), 13:15 , 20-Дек-24, (14) +1
Переименовали , потому что в tracker-miners одна уязвимость за другой Совет тут, Аноним (33), 15:55 , 20-Дек-24, (33)

KDE с выходом 6 плазмы перетащил свой Phonon на libvlc Интересно было бы там уя, НяшМяш (ok), 12:53 , 20-Дек-24, (5) +3

Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv имхо сам, Аноним (7), 13:10 , 20-Дек-24, (10) –2
Дык глянь или моск совсем уже оджавпскриптился, Вы забыли заполнить поле Name (?), 15:02 , 20-Дек-24, (26)

Зачем Проще подождать и почитать на опеннете очередную новость в libvlc нашли , Аноним (-), 15:17 , 20-Дек-24, (27) –2

О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой как, Аноним (16), 13:17 , 20-Дек-24, (15) –1

Это библиотеку куда только не пихают , Аноним (19), 13:26 , 20-Дек-24, (18)

В Протон сидит Протон одна из наиважнейших апликух в невиндовом мире , Афроним (?), 13:39 , 20-Дек-24, (21) –1

Да статье же указанно - в приложениях Nautilus GNOME Files , GNOME Videos и Rh, Аноним (19), 14:09 , 20-Дек-24, (23)

Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника в, Rev (ok), 14:47 , 20-Дек-24, (25)

Вывод не стоит хранить файлы с паролями , Аноним (44), 16:44 , 20-Дек-24, (44)
Это ты сам долумал как про бабайку Через сабжевые уязвимости за всю историю не , Аноним (16), 17:17 , 20-Дек-24, (55)

Т е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в моме, Аноним (42), 16:36 , 20-Дек-24, (42) +1

Скрыто модератором, Аноним (-), 14:03 , 20-Дек-24, (22) –3
Он же на C, что ещё было ожидать По этой причине не стали его использовать в св, Аноним (28), 15:18 , 20-Дек-24, (28) –1

FFmpeg на Rust переписали , Аноним (51), 17:15 , 20-Дек-24, (54)

Даже на Аду не переписали , Аноним (16), 17:18 , 20-Дек-24, (56)
Нет конечно Это же огроменный кусок ка кода Да и диды копротивляются перепис, Аноним (-), 18:02 , 20-Дек-24, (74)

А где же нейросети, про которые столько говорят Вот, мол, нейросеть перепишет в, Аноним (44), 18:45 , 20-Дек-24, (89)

Эм кто такое говорит Я слышал из реального только одни экспериментальный про, Аноним (92), 18:52 , 20-Дек-24, (92)

исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что в, 12yoexpert (ok), 15:37 , 20-Дек-24, (31) +1

Да, все уже привыкли к уязвимостям и тому, что всё кругом дырявое Вяло уже как-, Аноним (35), 16:13 , 20-Дек-24, (35)

посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отк, 12yoexpert (ok), 18:25 , 20-Дек-24, (78) +1

Охохоюшки, вот это поток мысли Но если опускаться на твой уровень То во-первых, Аноним (-), 18:49 , 20-Дек-24, (91)
У параноиков не возникает вопрос как си защитит их от цифровой подписи, они стро, Аноним (102), 20:48 , 20-Дек-24, (104)

Хм т е это наймиты мелкомягких проникли в команду Г-стримера код с большой бу, Аноним (-), 16:28 , 20-Дек-24, (39) –1

Добавить статических анализаторов, срочно И ещё, это как там, забыл Блин, , Аноним (35), 16:33 , 20-Дек-24, (41) +2

Погоди, Настоящий СИшник пишет отличный код и без всяких анализаторов и прочих с, Аноним (-), 17:00 , 20-Дек-24, (48) –1
Где переписанное на Раст или аду , Аноним (16), 17:18 , 20-Дек-24, (57) –1

При этом, люди постоянно удивляются - ну зачем они опять переписывают на раст т, Аноним (35), 16:11 , 20-Дек-24, (34) +2

Просто переход на Rust не уберет уязвимости, они просто изменят свою форму Не з, ijuij (?), 16:39 , 20-Дек-24, (43) +1

Если у тебя 50 всех уязвимостей происходят из-за работы с памятью, то уязвимост, Аноним (35), 16:49 , 20-Дек-24, (45)

Ну, в данном конкретном случае все 100 - это проблемы с памятью Даже всякие Int, Аноним (-), 17:01 , 20-Дек-24, (49)

Причём, этот ффмпег точно также можно было бы и на расте написать Всё с теми же, Аноним (35), 17:10 , 20-Дек-24, (52)
Это смещённость выборки Там coverage driven fuzzing использовался, но к нему не, Аноним (101), 20:37 , 20-Дек-24, (101)

На 100 уверены Тут есть пройтись по тегу GStreamer, то увидим забавный список н, Аноним (109), 21:26 , 20-Дек-24, (109)

Специально против такого и придуманы зависимые типы Но опять же, сишникам неког, Аноним (102), 20:44 , 20-Дек-24, (103)

И сколько реалтных проблем причинили эти уязвимости нуль И это при том что самы, Аноним (16), 17:20 , 20-Дек-24, (58)

Ну напиши такой же плеер по функционалу Пока все что виду от местных любителей , Вы забыли заполнить поле Name (?), 18:09 , 20-Дек-24, (77) –1

Зачем ему писать такой же плеер Тем более что авторы самого Gstreamer сами на Р, Аноним (88), 18:45 , 20-Дек-24, (88)

Ого, спасибо за уточнение Конечно bindings plugins это только начало, но самый, Аноним (-), 18:54 , 20-Дек-24, (93) –1
Сделать биндинги и разрешить писать плагины - это не называется перекатываться П, Аноним (-), 18:57 , 20-Дек-24, (94)
А ну как обычно Зачем писать что-то, если можно паразитировать и переписывать , Вы забыли заполнить поле Name (?), 18:58 , 20-Дек-24, (95) +1

Зачем перестраивать дом если можно жить в землянке Зачем делать нормальный сануз, Аноним (-), 19:04 , 20-Дек-24, (97) –2

Мастер сравнений просто Ну если тебе будет удобнее так, то ты не сам дом постро, Вы забыли заполнить поле Name (?), 20:06 , 20-Дек-24, (99) +1

Ого, а на доме кто написал д 822 о 822 м 822 822 с 822 в 822 о 822 б 8, Аноним (-), 21:06 , 20-Дек-24, (107)

Удивляютя сугубо опеннетные комментаторы - те, которые к разработке ПО никакого , Аноним (88), 18:39 , 20-Дек-24, (86)

Может это синдром утенка Это как футбольные и прочие фанаты - готовы бить физион, Аноним (-), 20:55 , 20-Дек-24, (105)

GStreamer - это предшественник PipeWire Написать адаптер, выкинуть оригинал, и , Аноним (46), 16:56 , 20-Дек-24, (46) +1

Нельзя Начнется воняние на моем ядре 2 3 оно не запустится как вы посмели что-, Аноним (-), 17:02 , 20-Дек-24, (50) +1

Какая проблема сделать другу версию, а не выкидывать все подряд что и так работа, Аноним (81), 18:29 , 20-Дек-24, (81)

Угу, а теперь поддерживать 2 куска кода Проводить тестирование, отслеживать регр, Аноним (-), 21:10 , 20-Дек-24, (108)

Запускаю плееры в изоляции уже давно и вам советую , Вы забыли заполнить поле Name (?), 18:07 , 20-Дек-24, (76)
А без systemd Или это только с системгой и гомом То бишь, сферически и в вакуу, Аноним (83), 18:32 , 20-Дек-24, (83)
Гном-сервис который автоматически находит и запускает экспоиты это уже или ещё н, Аноним (87), 18:43 , 20-Дек-24, (87)
Ого, а новость обновилась Прям какое-то сишное бинго сегодня Они бы еще написали, Анонимусс (-), 21:35 , 20-Дек-24, (110)
Да что ж такое Надо срочно запретить статические анализаторы, а то они показыва, Аноним (-), 21:40 , 20-Дек-24, (111)

Сообщения [Сортировка по времени | RSS]

1. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +2 +/–

Сообщение от Афроним (?), 20-Дек-24, 12:44

Зато легче для кодера чем ффмпег.

Ответить | Правка | Наверх | Cообщить модератору

37. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (-), 20-Дек-24, 16:24

> Зато легче для кодера чем ффмпег.
Конечно легче - вон насколько оно "перфорированно".
Зато потешатся любители экономить каждый байт памяти и не важно, что дырявое)

Ответить | Правка | Наверх | Cообщить модератору

2. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +5 +/–

Сообщение от Аноним (2), 20-Дек-24, 12:50

Сишные указатели)

Ответить | Правка | Наверх | Cообщить модератору

16. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (16), 20-Дек-24, 13:19

Тебе что взломали через них?

Ответить | Правка | Наверх | Cообщить модератору

51. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Аноним (51), 20-Дек-24, 17:10

Brain

Ответить | Правка | Наверх | Cообщить модератору

19. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (19), 20-Дек-24, 13:28

А, всё прочее - не указатели, учим матчатсть...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

53. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –2 +/–

Сообщение от Аноним (51), 20-Дек-24, 17:12

Указатели есть везде, даже в Паскале. Просто не все их показывают.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

102. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (102), 20-Дек-24, 20:39

Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно небольшой список языков. В других языках ссылки. Ссылки не допускают арифметики укзателей, произвольных преобразования, ссылок на несуществующие участки памяти и так далее. Даже с учётом указателей, можно взять зависимые типы и строго контролировать происходящее. Но сишники слишком увлечены порчей памяти, чтобы знать об этом.

Ответить | Правка | Наверх | Cообщить модератору

106. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 21:00

> не все их показывают.
Я б сказал, не все доверяют программисту работать с указателями так, как тому захотелось.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

3. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Аноним (3), 20-Дек-24, 12:50

нахрен gstreamer кстати? есть же ffmpeg.

Ответить | Правка | Наверх | Cообщить модератору

7. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +3 +/–

Сообщение от Аноним (7), 20-Дек-24, 13:06

ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень, но факт). Вот и носятся с ним.

Ответить | Правка | Наверх | Cообщить модератору

12. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (12), 20-Дек-24, 13:11

> ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень
вас там двое в одной голове ? второй кстати прав

Ответить | Правка | Наверх | Cообщить модератору

29. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (12), 20-Дек-24, 15:25

> второй кстати прав
а это для первого
https://theirstack.com/en/technology/ffmpeg/us

Ответить | Правка | Наверх | Cообщить модератору

13. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (3), 20-Дек-24, 13:12

а че, как с freetype нельзя? в их сша-френдли репах поставлять ffmpeg без поддержки мпега (через какой-нибудь -DENABLE_MPEG=0), но позволять заменять ffmpeg другими билдами, где мпег включен. С freetype-ом так и было: в федоре шел без поддержки subpixel antialias, но в rpmfusion он был включен. Так что вопрос открытый: нахрена gstreamer, когда можно без gstreamer.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (11), 20-Дек-24, 13:10

Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что такое gstreamer. Тогда твой вопрос перестанет иметь смысл.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (4), 20-Дек-24, 12:51

Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переименовали tracker miner на TinySPARQL.

Ответить | Правка | Наверх | Cообщить модератору

14. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Аноним (14), 20-Дек-24, 13:15

Из eng wiki:
"TinySPARQL is a general-purpose SPARQL-based database;"
В debian testing никакой tinysparql нет.
Есть библиотека базы данных libtracker-sparql для tracker.
Сами сервисы в пакетах tracker, tracker-miner-fs, tracker-extract и маскировать надо их.

Ответить | Правка | Наверх | Cообщить модератору

33. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (33), 20-Дек-24, 15:55

Переименовали , потому что в tracker-miners одна уязвимость за другой. Совет тут простой. GNOME и подобные жирные куски раздать нуждающимся, а самому воздержаться.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +3 +/–

Сообщение от НяшМяш (ok), 20-Дек-24, 12:53

KDE с выходом 6 плазмы перетащил свой Phonon на libvlc. Интересно было бы там уязвимости глянуть.

Ответить | Правка | Наверх | Cообщить модератору

10. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –2 +/–

Сообщение от Аноним (7), 20-Дек-24, 13:10

Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv (имхо самый нормальный плеер для линукса). Так что - эталонное ненужно.

Ответить | Правка | Наверх | Cообщить модератору

26. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 15:02

> Интересно было бы там уязвимости глянуть.
Дык глянь или моск совсем уже оджавпскриптился

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

27. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –2 +/–

Сообщение от Аноним (-), 20-Дек-24, 15:17

>> Интересно было бы там уязвимости глянуть.
> Дык глянь
Зачем? Проще подождать и почитать на опеннете очередную новость "в libvlc нашли уязвимости"
> или моск совсем уже оджавпскриптился
фу как некрасиво, тебе бы поработать над своим воспитанием, раз родители недоработали.

Ответить | Правка | Наверх | Cообщить модератору

15. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (16), 20-Дек-24, 13:17

О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой какой ужыс. Срочно переписать.

Ответить | Правка | Наверх | Cообщить модератору

18. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (19), 20-Дек-24, 13:26

Это библиотеку куда только не пихают...

Ответить | Правка | Наверх | Cообщить модератору

21. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Афроним (?), 20-Дек-24, 13:39

В Протон сидит.( Протон одна из наиважнейших апликух в невиндовом мире. )

Ответить | Правка | Наверх | Cообщить модератору

23. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (19), 20-Дек-24, 14:09

Да статье же указанно - "в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners" т.е.он там ~облачно сканируя сеть скачивая затрояненне видоролики сам... - мало что ли?
(т.б.в условии неиспользвоании доп..аккаунта под каждое такое приложение... т.е.типично).

Ответить | Правка | Наверх | Cообщить модератору

25. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Rev (ok), 20-Дек-24, 14:47

Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника все твои файлы с паролями.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

44. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (44), 20-Дек-24, 16:44

Вывод: не стоит хранить файлы с паролями.

Ответить | Правка | Наверх | Cообщить модератору

55. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (16), 20-Дек-24, 17:17

Это ты сам долумал как про бабайку. Через сабжевые уязвимости за всю историю не было ни одного взлома.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Аноним (42), 20-Дек-24, 16:36

> а также субтитров
> индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя
Т.е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в момент "сохранил на в папку download"
Звучит нормально для СИшных проектов и ГНОМа)).

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. Скрыто модератором –3 +/–

Сообщение от Аноним (-), 20-Дек-24, 14:03

> Восемь уязвимостей приводят к записи данных за пределы буфера,
> а одна к перезаписи указателя на функцию.
Ha-ha, classic.
Вообще там ВСЕ дырени типикАл сишные.

CVE-2024-47537     OOB-write in isomp4/qtdemux.c
CVE-2024-47615     OOB-Write in gst_parse_vorbis_setup_packet
CVE-2024-47613     OOB-Write in gst_gdk_pixbuf_dec_flush
CVE-2024-47539     OOB-write in convert_to_s334_1a
CVE-2024-47541     OOB-write in subparse/gstssaparse.c
CVE-2024-47538     Stack-buffer overflow in vorbis_handle_identification_packet
CVE-2024-47607     Stack-buffer overflow in gst_opus_dec_parse_header
CVE-2024-47542     Null pointer dereference in id3v2_read_synch_uint
CVE-2024-47544     Null pointer dereference in qtdemux_parse_sbgp
CVE-2024-47599     Null pointer dereference in gst_jpeg_dec_negotiate
CVE-2024-47601     Null pointer dereference in gst_matroska_demux_parse_blockgroup_or_simpleblock
CVE-2024-47602     Null pointer dereference in gst_matroska_demux_add_wvpk_header
CVE-2024-47603     Null pointer dereference in gst_matroska_demux_update_tracks
CVE-2024-47835     Null pointer dereference in parse_lrc
CVE-2024-47543     OOB-read in qtdemux_parse_container
CVE-2024-47596     OOB-read in FOURCC_SMI_ parsing
CVE-2024-47597     OOB-read in qtdemux_parse_samples
CVE-2024-47598     OOB-read in qtdemux_merge_sample_table
CVE-2024-47600     OOB-read in format_channel_mask
CVE-2024-47778     OOB-read in gst_wavparse_adtl_chunk
CVE-2024-47777     OOB-read in gst_wavparse_smpl_chunk
CVE-2024-47776     OOB-read in gst_wavparse_cue_chunk
CVE-2024-47775     OOB-read in parse_ds64
CVE-2024-47774     OOB-read in gst_avi_subtitle_parse_gab2_chunk
CVE-2024-47545     Integer underflow in FOURCC_strf parsing leading to OOB-read
CVE-2024-47546     Integer underflow in extract_cc_from_data leading to OOB-read
CVE-2024-47834     Use-After-Free read in Matroska CodecPrivate
CVE-2024-47606     Memcpy parameter overlap in qtdemux_parse_theora_extension leading to OOB-write
CVE-2024-47540     Uninitialized variable in gst_matroska_demux_add_wvpk_header leading to function pointer ovewriting
Вот интересно, это все писали диды-какиры или молодые смузихлебы?
Хотя... какая разница - что те писать не умели, что эти)))

Ответить | Правка | Наверх | Cообщить модератору

28. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (28), 20-Дек-24, 15:18

Он же на C, что ещё было ожидать? По этой причине не стали его использовать в своё время. И ещё из-за невменяемой схемы распространения с невменяемым разделением плагинов на good/bad/ugly.

Ответить | Правка | Наверх | Cообщить модератору

54. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (51), 20-Дек-24, 17:15

FFmpeg на Rust переписали?

Ответить | Правка | Наверх | Cообщить модератору

56. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (16), 20-Дек-24, 17:18

Даже на Аду не переписали.

Ответить | Правка | Наверх | Cообщить модератору

74. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 18:02

> FFmpeg на Rust переписали?
Нет конечно. Это же огроменный кусок ка... кода.
Да и диды копротивляются переписыванию, поэтому по частям не перепишешь. А переписывать все сразу - это очень долго, все-таки кодовая база большая - пилят почти четверть века.
А вот отдельные кодеки и сопутствующее на раст перерисывают -  rust-av, rav1e, rav1d, ivf-rs, matroska, ffv1, av-mp4, lewton и тд. Но понятно что процесс будет не быстры.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

89. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (44), 20-Дек-24, 18:45

А где же нейросети, про которые столько говорят? Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?

Ответить | Правка | Наверх | Cообщить модератору

92. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (92), 20-Дек-24, 18:52

> А где же нейросети, про которые столько говорят?
> Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?
Эм... кто такое говорит? Я слышал из реального только одни экспериментальный проект у DARPA (opennet.ru/opennews/art.shtml?num=61656). И больше про него ничего слышно не было.
А если ты про местных комментаторов... То пфффф.
Основная проблема что тебе нужно сеть на чем-то обучить.
А большая часть си кода - это лютый 6ыdloкод без проверок, с нарушением прав владения (да, в сишке нет явного borrowing, но неявный есть всегда и его все равно нужно соблюдать), поточности и тд.
Как ты его на раст оттранслируешь? Оно просто не скомпилируется.
Там местами вообще архитектуру менять придется.

Ответить | Правка | Наверх | Cообщить модератору

31. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от 12yoexpert (ok), 20-Дек-24, 15:37

исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно

Ответить | Правка | Наверх | Cообщить модератору

35. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (35), 20-Дек-24, 16:13

Да, все уже привыкли к уязвимостям и тому, что всё кругом дырявое. Вяло уже как-то. А если уязвимостей будет ещё меньше, так станет ещё скучнее. А хочется-то веселухи.

Ответить | Правка | Наверх | Cообщить модератору

78. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от 12yoexpert (ok), 20-Дек-24, 18:25

посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт

Ответить | Правка | Наверх | Cообщить модератору

91. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 18:49

> посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт
Охохоюшки, вот это поток мысли!
Но если опускаться на твой уровень...
То во-первых, типа нельзя будет опенсорсные uutils (coreutils на расте и благословенной свободной MIT) форкнуть и делать с ними что пожелаешь?
А во вторых, на сишке написанно куча проприетарного софта и всем пофиг.
ps ты главное закрывай замки понадежнее, а вдруг придет майкрософт и запилит тебе двери свой цифровой под-пись-ю))

Ответить | Правка | Наверх | Cообщить модератору

104. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (102), 20-Дек-24, 20:48

У параноиков не возникает вопрос как си защитит их от цифровой подписи, они строго уверены, что цифровая подпись возможна только на растие. А ещё параноики не доверяют фреймворкам, и пишут код каждый раз с нуля, заново собирая все баги.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

39. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (-), 20-Дек-24, 16:28

> исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно
Хм.. т.е это наймиты мелкомягких проникли в команду Г-стримера (код с большой буквы Г) и сделали все эти ошибки-уязвимости?
Какое коварство!
Уже не в первый раз растовики подбрасывают код в штаны СИшникам.
Надо с этим срочно что-то делать!

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

41. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +2 +/–

Сообщение от Аноним (35), 20-Дек-24, 16:33

> Надо с этим срочно что-то делать!
Добавить статических анализаторов, срочно. И ещё, это ... как там, забыл. Блин, важное что-то ... а, просто уметь писать код. Вот тогда уж заживём, и никакой раст не нужен будет.

Ответить | Правка | Наверх | Cообщить модератору

48. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (-), 20-Дек-24, 17:00

Погоди, Настоящий СИшник пишет отличный код и без всяких анализаторов и прочих смузихлебных новинок.
Вон диды написали кучу кода "на котором мир держится". Такие чудесные проекты как ХОрг, ж-либ-с, ядро линукс.
Ты бы еще предложил на этапе компиляции проверять, чтобы никакой указатель не испортился, чтобы все висячие ссылки проверялись.
А что дальше? Может боровчекер добавить?!
Да ты небось растовик в майкрософте работаешь!!

Ответить | Правка | Наверх | Cообщить модератору

57. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (16), 20-Дек-24, 17:18

Где переписанное на Раст или аду?

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

34. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +2 +/–

Сообщение от Аноним (35), 20-Дек-24, 16:11

При этом, люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"
Главное, когда такие вопросы задаёшь, игнорировать реальность и не замечать новостей про десятки уязвимостей из-за ошибок работы с памятью в одном лишь приложении.
А если даже и замечать, то говорить "ну и что, тебе же ничего через них не сломали!".
Сишкофилам хочется пожелать одного: давайте вы весь военный софт на своей сишечке напишете? Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте. А потом сравним. Как это один известный человек сказал - проведём высокотехнологический эксперимент.

Ответить | Правка | Наверх | Cообщить модератору

43. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от ijuij (?), 20-Дек-24, 16:39

Просто переход на Rust не уберет уязвимости, они просто изменят свою форму. Не забывай об этом! 🛡️

Ответить | Правка | Наверх | Cообщить модератору

45. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (35), 20-Дек-24, 16:49

Если у тебя 50% всех уязвимостей происходят из-за работы с памятью, то уязвимостей станет в два раза меньше. Их не останется столько же в изменённой форме, их станет в два раза меньше. Причём именно они обычно связаны с RCE.

Ответить | Правка | Наверх | Cообщить модератору

49. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 17:01

> Если у тебя 50% всех уязвимостей происходят из-за работы с памятью
Ну, в данном конкретном случае все 100% - это проблемы с памятью.
Даже всякие Integer underflow потом стреляют из-за OOB.
Но дыряшечники будут "лепить галимые отмазы":
- зачем это если есть ffmpeg
(ахаха, а типа ffmpeg не такое же омнище с Integer Overflow CVE-2024-35366, Double Free CVE-2024-35368 и Out-of-bounds Read CVE-2024-35367)
- это специально так написали, потому что им так заказали
(ребята, у вас все сишные продукты дырявые, в таком случае всех уже купили и вообще никому доверять нельзя)
- это не настоящий сишник, вот настоящий бы никогда!
(а настоящих не существует, хехе)

Ответить | Правка | Наверх | Cообщить модератору

52. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (35), 20-Дек-24, 17:10

> зачем это если есть ffmpeg
Причём, этот ффмпег точно также можно было бы и на расте написать. Всё с теми же ассемблерными вставками, которые раст поддерживает.

Ответить | Правка | Наверх | Cообщить модератору

101. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (101), 20-Дек-24, 20:37

> в данном конкретном случае все 100% - это проблемы с памятью.
Это смещённость выборки. Там coverage driven fuzzing использовался, но к нему необходим какой-то алгоритмический способ выявления косяков, и я подозреваю, что автор использовал что-то типа valgrind'а, который детектировал именно ошибки работы с памятью, не замечая никаких других. То есть, в этом списке не могли возникнуть ошибки не сводящиеся к неправильной работе с памятью. Невозможно по этому исследованию судить о том, сколько там ошибок другого типа.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

109. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (109), 20-Дек-24, 21:26

> Это смещённость выборки.
На 100% уверены?
Тут есть пройтись по тегу GStreamer, то увидим забавный список новостей:
Две уязвимости - Use-After-Free и переполнение буфера (opennet.ru/opennews/art.shtml?num=60185)
Три уязвимости - целочисленное переполнение с потенциальным выполнением кода, переполнение буфера (opennet.ru/opennews/art.shtml?num=59852)
Две уязвимости - целочисленное переполнение с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59592)
Две уязвимости - переполнение буфера с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59410)
Одна уязвимость - переполнением буфера + выполнение кода, даже с примером эксплойта (opennet.ru/opennews/art.shtml?num=54465)
И это только первая страница поиска (15 новостей), дальше мне лень))
Как видим у GStreamer есть невероятно богатое и дырявое сишное прошлое.
Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой...

Ответить | Правка | Наверх | Cообщить модератору

103. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (102), 20-Дек-24, 20:44

>Даже всякие Integer underflow потом стреляют из-за OOB.
Специально против такого и придуманы зависимые типы. Но опять же, сишникам некогда читать матан, они дырки плодят.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

58. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (16), 20-Дек-24, 17:20

И сколько реалтных проблем причинили эти уязвимости нуль? И это при том что самые большие утечки происходят по причине неправильной обработки путей. При том что Раст тоже неправильно обрабатывает пути.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

77. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:09

Ну напиши такой же плеер по функционалу. Пока все что виду от местных любителей — комментарии.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

88. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (88), 20-Дек-24, 18:45

> Ну напиши такой же плеер по функционал
Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:
https://gstreamer.freedesktop.org/releases/1.22/
"33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."

Ответить | Правка | Наверх | Cообщить модератору

93. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –1 +/–

Сообщение от Аноним (-), 20-Дек-24, 18:54

> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются:
> https://gstreamer.freedesktop.org/releases/1.22/
Ого, спасибо за уточнение.
Конечно bindings + plugins это только начало, но самый трудный - первый шаг.
> "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."
Жду с нетерпением анонса переделывания основного проекта.
Тогда точно в комментах будут полыхающие седалища.

Ответить | Правка | Наверх | Cообщить модератору

94. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 18:57

> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
> сами на Раст давно перекатываются:
Сделать биндинги и разрешить писать плагины - это не называется перекатываться.
Ползут в направлении в лучшем случае.
Но сам факт удивляет, это да.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

95. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:58

>> Ну напиши такой же плеер по функционал
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer
> сами на Раст давно перекатываются:
А ну как обычно. Зачем писать что-то, если можно паразитировать и переписывать. Типикал.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

97. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." –2 +/–

Сообщение от Аноним (-), 20-Дек-24, 19:04

Зачем перестраивать дом если можно жить в землянке?
Зачем делать нормальный санузел, если можно бегать на улицу?
Зачем делать нормально, если можно кушать уязвимый код и нахваливать?
Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали сами разработчики GStreamerʼа.
На ком они паразитируют, гений?

Ответить | Правка | Наверх | Cообщить модератору

99. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 20:06

> Зачем перестраивать дом если можно жить в землянке?
> Зачем делать нормальный санузел, если можно бегать на улицу?
> Зачем делать нормально, если можно кушать уязвимый код и нахваливать?
Мастер сравнений просто. Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.
> Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали
> сами разработчики GStreamerʼа.
> На ком они паразитируют, гений?
И? А ты такой радостный что кто-то там начал что-то переписывать? Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!

Ответить | Правка | Наверх | Cообщить модератору

107. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 21:06

> Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса.
Ого, а на доме кто написал д̶о̶м̶ ̶с̶в̶о̶б̶о̶д̶е̶н̶,̶ ̶ж̶и̶в̶и̶т̶е̶ ̶к̶т̶о̶ ̶х̶о̶т̶и̶т̶е̶ код под GPL форкайте / патчите кто хотите?
Или мне нужно спрашивать "а можно к вам отправить pull request"?
Если мой патч не подойдет создателям проекта - они его просто отклонят, это кажется должно быть понятно любому.
Но этот код приняли - значит всех все устраивает.
> И? А ты такой радостный что кто-то там начал что-то переписывать?
Конечно. Если больше проектов будут переходить на нормальные языки -> больше людей будут понимать что "не дырявыми одними" -> будет больше запросов на программы на нормальных языках -> у меня будет больший выбор проектов для работы.
Для меня одни плюсы.
> Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!
Воооообще не стыдно)
Написать свой, но зачем? У меня то все нормально работает.
А стыдно это - брак гнать, годами причем.

Ответить | Правка | Наверх | Cообщить модератору

86. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (88), 20-Дек-24, 18:39

> люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!"
Удивляютя сугубо опеннетные комментаторы - те, которые к разработке ПО никакого отношения не имеют.
Причем на поверку как правило оказывается, что чем меньше персонаж шарит в C, тем сильнее он воюет против Раста.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

105. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 20:55

Может это синдром утенка?
Это как футбольные и прочие фанаты - готовы бить физиономии тем кто обозвал их любимую команду кривоногими инвалидами.
Думаю тут такое же - с детства им вбивали в голову что есть один идеальный ЯП созданный гениальным коммитетом и вообще самый лучший.
А тут приходят какие-то сопляки и говорят "да у вас тут дыреней как в шапке почтальона Печкина!".
Естественно это вызывает баттхерт и гневные вопли.
А потом когда начинаешь задавать вопрос по сonformance они чего-то сливаются.

Ответить | Правка | Наверх | Cообщить модератору

46. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Аноним (46), 20-Дек-24, 16:56

GStreamer - это предшественник PipeWire. Написать адаптер, выкинуть оригинал, и забыть.

Ответить | Правка | Наверх | Cообщить модератору

50. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +1 +/–

Сообщение от Аноним (-), 20-Дек-24, 17:02

Нельзя.
Начнется воняние "на моем ядре 2.3 оно не запустится! как вы посмели что-то выкидывать" и тд
То что мы видим в каждой первой теме про выпиливания некрокода.

Ответить | Правка | Наверх | Cообщить модератору

81. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (81), 20-Дек-24, 18:29

Какая проблема сделать другу версию, а не выкидывать все подряд что и так работает.

Ответить | Правка | Наверх | Cообщить модератору

108. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 21:10

Угу, а теперь поддерживать 2 куска кода.
Проводить тестирование, отслеживать регрессии.
Это же так просто, когда этим занимается кто-то другой!

Ответить | Правка | Наверх | Cообщить модератору

76. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:07

Запускаю плееры в изоляции уже давно и вам советую.

Ответить | Правка | Наверх | Cообщить модератору

83. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (83), 20-Дек-24, 18:32

>systemctl
А без systemd? Или это только с системгой и гомом? То бишь, сферически и в вакууме?

Ответить | Правка | Наверх | Cообщить модератору

87. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (87), 20-Дек-24, 18:43

Гном-сервис который автоматически находит и запускает экспоиты это уже или ещё не совсем год линукса на дескпопе?

Ответить | Правка | Наверх | Cообщить модератору

110. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Анонимусс (-), 20-Дек-24, 21:35

Ого, а новость обновилась.
> Помимо 29 уязвимостей, выявленных исследователями из GitHub Security
> Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.
Прям какое-то сишное бинго сегодня!
Они бы еще написали сколько лет каждая из дыреней жила в этом прекрасном коде,
написсаном луДшими погромистами современности!
Может еще не вечер, и что-то еще найдут?))

Ответить | Правка | Наверх | Cообщить модератору

111. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..." +/–

Сообщение от Аноним (-), 20-Дек-24, 21:40

>  Помимо 29 уязвимостей, выявленных исследователями из GitHub Security Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей.
Да что ж такое!
Надо срочно запретить статические анализаторы, а то они показывают дидов в нехорошем виде.
И вгоняют фанатиков небезопасных языков в депрессию)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+2 +/–
Сообщение от Афроним (?), 20-Дек-24, 12:44
Зато легче для кодера чем ффмпег.
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	–1 +/–
	Сообщение от Аноним (-), 20-Дек-24, 16:24
	> Зато легче для кодера чем ффмпег. Конечно легче - вон насколько оно "перфорированно". Зато потешатся любители экономить каждый байт памяти и не важно, что дырявое)
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+5 +/–
Сообщение от Аноним (2), 20-Дек-24, 12:50
Сишные указатели)
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (16), 20-Дек-24, 13:19
	Тебе что взломали через них?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+1 +/–
	Сообщение от Аноним (51), 20-Дек-24, 17:10
	Brain
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (19), 20-Дек-24, 13:28
	А, всё прочее - не указатели, учим матчатсть...
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	53. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	–2 +/–
	Сообщение от Аноним (51), 20-Дек-24, 17:12
	Указатели есть везде, даже в Паскале. Просто не все их показывают.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	102. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (102), 20-Дек-24, 20:39
	Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно небольшой список языков. В других языках ссылки. Ссылки не допускают арифметики укзателей, произвольных преобразования, ссылок на несуществующие участки памяти и так далее. Даже с учётом указателей, можно взять зависимые типы и строго контролировать происходящее. Но сишники слишком увлечены порчей памяти, чтобы знать об этом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	106. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (-), 20-Дек-24, 21:00
	> не все их показывают. Я б сказал, не все доверяют программисту работать с указателями так, как тому захотелось.
	Ответить \| Правка \| К родителю #53 \| Наверх \| Cообщить модератору

3. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+1 +/–
Сообщение от Аноним (3), 20-Дек-24, 12:50
нахрен gstreamer кстати? есть же ffmpeg.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+3 +/–
	Сообщение от Аноним (7), 20-Дек-24, 13:06
	ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень, но факт). Вот и носятся с ним.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (12), 20-Дек-24, 13:11
	> ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень вас там двое в одной голове ? второй кстати прав
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (12), 20-Дек-24, 15:25
	> второй кстати прав а это для первого https://theirstack.com/en/technology/ffmpeg/us
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (3), 20-Дек-24, 13:12
	а че, как с freetype нельзя? в их сша-френдли репах поставлять ffmpeg без поддержки мпега (через какой-нибудь -DENABLE_MPEG=0), но позволять заменять ffmpeg другими билдами, где мпег включен. С freetype-ом так и было: в федоре шел без поддержки subpixel antialias, но в rpmfusion он был включен. Так что вопрос открытый: нахрена gstreamer, когда можно без gstreamer.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	11. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (11), 20-Дек-24, 13:10
	Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что такое gstreamer. Тогда твой вопрос перестанет иметь смысл.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

4. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
Сообщение от Аноним (4), 20-Дек-24, 12:51
Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переименовали tracker miner на TinySPARQL.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+1 +/–
	Сообщение от Аноним (14), 20-Дек-24, 13:15
	Из eng wiki: "TinySPARQL is a general-purpose SPARQL-based database;" В debian testing никакой tinysparql нет. Есть библиотека базы данных libtracker-sparql для tracker. Сами сервисы в пакетах tracker, tracker-miner-fs, tracker-extract и маскировать надо их.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (33), 20-Дек-24, 15:55
	Переименовали , потому что в tracker-miners одна уязвимость за другой. Совет тут простой. GNOME и подобные жирные куски раздать нуждающимся, а самому воздержаться.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

5. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+3 +/–
Сообщение от НяшМяш (ok), 20-Дек-24, 12:53
KDE с выходом 6 плазмы перетащил свой Phonon на libvlc. Интересно было бы там уязвимости глянуть.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	–2 +/–
	Сообщение от Аноним (7), 20-Дек-24, 13:10
	Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv (имхо самый нормальный плеер для линукса). Так что - эталонное ненужно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 15:02
	> Интересно было бы там уязвимости глянуть. Дык глянь или моск совсем уже оджавпскриптился
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	27. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	–2 +/–
	Сообщение от Аноним (-), 20-Дек-24, 15:17
	>> Интересно было бы там уязвимости глянуть. > Дык глянь Зачем? Проще подождать и почитать на опеннете очередную новость "в libvlc нашли уязвимости" > или моск совсем уже оджавпскриптился фу как некрасиво, тебе бы поработать над своим воспитанием, раз родители недоработали.
	Ответить \| Правка \| Наверх \| Cообщить модератору

15. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	–1 +/–
Сообщение от Аноним (16), 20-Дек-24, 13:17
О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой какой ужыс. Срочно переписать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (19), 20-Дек-24, 13:26
	Это библиотеку куда только не пихают...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	–1 +/–
	Сообщение от Афроним (?), 20-Дек-24, 13:39
	В Протон сидит.( Протон одна из наиважнейших апликух в невиндовом мире. )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (19), 20-Дек-24, 14:09
	Да статье же указанно - "в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners" т.е.он там ~облачно сканируя сеть скачивая затрояненне видоролики сам... - мало что ли? (т.б.в условии неиспользвоании доп..аккаунта под каждое такое приложение... т.е.типично).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Rev (ok), 20-Дек-24, 14:47
	Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника все твои файлы с паролями.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	44. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (44), 20-Дек-24, 16:44
	Вывод: не стоит хранить файлы с паролями.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+/–
	Сообщение от Аноним (16), 20-Дек-24, 17:17
	Это ты сам долумал как про бабайку. Через сабжевые уязвимости за всю историю не было ни одного взлома.
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	42. "В мультимедийном фреймворке GStreamer выявлено 29 уязвимосте..."	+1 +/–
	Сообщение от Аноним (42), 20-Дек-24, 16:36
	> а также субтитров > индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя Т.е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в момент "сохранил на в папку download" Звучит нормально для СИшных проектов и ГНОМа)).
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору