Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В мультимедийном фреймворке GStreamer выявлено 29 уязвимостей"	+/–
Сообщение от opennews (?), 20-Дек-24, 12:44
В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 29 уязвимостей. Восемь уязвимостей приводят к записи данных за пределы буфера, а одна (CVE-2024-47540) к перезаписи указателя на функцию. Указанные уязвимости могут потенциально использоваться злоумышленниками для организации выполнения кода при обработке некорректно оформленных мультимедийных данных в форматах MKV, MP4,  Ogg, Vorbis и Opus, а также субтитров в формате SSA. Остальные уязвимости приводят к разыменованию нулевого указателя или чтению из области памяти за границей буфера, т.е. могут использоваться для инициирования аварийного завершения... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62441
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Афроним (?), 20-Дек-24, 12:44	+1 +/–
Зато легче для кодера чем ффмпег.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #115

2. Сообщение от Аноним (2), 20-Дек-24, 12:50	+6 +/–
Сишные указатели)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #19, #53

3. Сообщение от Аноним (3), 20-Дек-24, 12:50	+/–
нахрен gstreamer кстати? есть же ffmpeg.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #11

4. Сообщение от Аноним (4), 20-Дек-24, 12:51	+/–
Совет в конце статьи нерабочий на не древних дистрибутивах, гении из GNOME переименовали tracker miner на TinySPARQL.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #33

5. Сообщение от НяшМяш (ok), 20-Дек-24, 12:53	+4 +/–
KDE с выходом 6 плазмы перетащил свой Phonon на libvlc. Интересно было бы там уязвимости глянуть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #26

7. Сообщение от Аноним (7), 20-Дек-24, 13:06	+5 +/–
ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень, но факт). Вот и носятся с ним.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #13

10. Сообщение от Аноним (7), 20-Дек-24, 13:10	–2 +/–
Phonon чисто kde-либа а кедовский плеер сильно проигрывает тому же mpv (имхо самый нормальный плеер для линукса). Так что - эталонное ненужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

11. Сообщение от Аноним (11), 20-Дек-24, 13:10	+1 +/–
Прежде чем задавать такой вопрос, тебе надо бы понять что такое ffmpeg и что такое gstreamer. Тогда твой вопрос перестанет иметь смысл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

12. Сообщение от Аноним (12), 20-Дек-24, 13:11	+1 +/–
> ffmpeg нельзя поставлять в сша ибо патенты на мпег (сказочная хрень вас там двое в одной голове ? второй кстати прав
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #29

13. Сообщение от Аноним (3), 20-Дек-24, 13:12	+/–
а че, как с freetype нельзя? в их сша-френдли репах поставлять ffmpeg без поддержки мпега (через какой-нибудь -DENABLE_MPEG=0), но позволять заменять ffmpeg другими билдами, где мпег включен. С freetype-ом так и было: в федоре шел без поддержки subpixel antialias, но в rpmfusion он был включен. Так что вопрос открытый: нахрена gstreamer, когда можно без gstreamer.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

14. Сообщение от Аноним (14), 20-Дек-24, 13:15	+1 +/–
Из eng wiki: "TinySPARQL is a general-purpose SPARQL-based database;" В debian testing никакой tinysparql нет. Есть библиотека базы данных libtracker-sparql для tracker. Сами сервисы в пакетах tracker, tracker-miner-fs, tracker-extract и маскировать надо их.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

15. Сообщение от Аноним (16), 20-Дек-24, 13:17	+/–
О нет злоумышленник может уронить плеер с хентаем со сторонней акдиодородкой какой ужыс. Срочно переписать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #25, #42

16. Сообщение от Аноним (16), 20-Дек-24, 13:19	+/–
Тебе что взломали через них?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #51

18. Сообщение от Аноним (19), 20-Дек-24, 13:26	–1 +/–
Это библиотеку куда только не пихают...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #21

19. Сообщение от Аноним (19), 20-Дек-24, 13:28	–1 +/–
А, всё прочее - не указатели, учим матчатсть...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

21. Сообщение от Афроним (?), 20-Дек-24, 13:39	+1 +/–
В Протон сидит.( Протон одна из наиважнейших апликух в невиндовом мире. )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #23

22. Сообщение от Аноним (-), 20-Дек-24, 14:03    Скрыто ботом-модератором	–3 +/–
> Восемь уязвимостей приводят к записи данных за пределы буфера, > а одна к перезаписи указателя на функцию. Ha-ha, classic. Вообще там ВСЕ дырени типикАл сишные. CVE-2024-47537     OOB-write in isomp4/qtdemux.c CVE-2024-47615     OOB-Write in gst_parse_vorbis_setup_packet CVE-2024-47613     OOB-Write in gst_gdk_pixbuf_dec_flush CVE-2024-47539     OOB-write in convert_to_s334_1a CVE-2024-47541     OOB-write in subparse/gstssaparse.c CVE-2024-47538     Stack-buffer overflow in vorbis_handle_identification_packet CVE-2024-47607     Stack-buffer overflow in gst_opus_dec_parse_header CVE-2024-47542     Null pointer dereference in id3v2_read_synch_uint CVE-2024-47544     Null pointer dereference in qtdemux_parse_sbgp CVE-2024-47599     Null pointer dereference in gst_jpeg_dec_negotiate CVE-2024-47601     Null pointer dereference in gst_matroska_demux_parse_blockgroup_or_simpleblock CVE-2024-47602     Null pointer dereference in gst_matroska_demux_add_wvpk_header CVE-2024-47603     Null pointer dereference in gst_matroska_demux_update_tracks CVE-2024-47835     Null pointer dereference in parse_lrc CVE-2024-47543     OOB-read in qtdemux_parse_container CVE-2024-47596     OOB-read in FOURCC_SMI_ parsing CVE-2024-47597     OOB-read in qtdemux_parse_samples CVE-2024-47598     OOB-read in qtdemux_merge_sample_table CVE-2024-47600     OOB-read in format_channel_mask CVE-2024-47778     OOB-read in gst_wavparse_adtl_chunk CVE-2024-47777     OOB-read in gst_wavparse_smpl_chunk CVE-2024-47776     OOB-read in gst_wavparse_cue_chunk CVE-2024-47775     OOB-read in parse_ds64 CVE-2024-47774     OOB-read in gst_avi_subtitle_parse_gab2_chunk CVE-2024-47545     Integer underflow in FOURCC_strf parsing leading to OOB-read CVE-2024-47546     Integer underflow in extract_cc_from_data leading to OOB-read CVE-2024-47834     Use-After-Free read in Matroska CodecPrivate CVE-2024-47606     Memcpy parameter overlap in qtdemux_parse_theora_extension leading to OOB-write CVE-2024-47540     Uninitialized variable in gst_matroska_demux_add_wvpk_header leading to function pointer ovewriting Вот интересно, это все писали диды-какиры или молодые смузихлебы? Хотя... какая разница - что те писать не умели, что эти)))
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (19), 20-Дек-24, 14:09	+2 +/–
Да статье же указанно - "в приложениях Nautilus (GNOME Files), GNOME Videos и Rhythmbox, а также в развиваемом проектом GNOME поисковом движке tracker-miners" т.е.он там ~облачно сканируя сеть скачивая затрояненне видоролики сам... - мало что ли? (т.б.в условии неиспользвоании доп..аккаунта под каждое такое приложение... т.е.типично).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Rev (ok), 20-Дек-24, 14:47	+1 +/–
Ты можешь скачать аудиокнигу, а она автоматом скачает на сервер злоумышленника все твои файлы с паролями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #44, #55

26. Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 15:02	–1 +/–
> Интересно было бы там уязвимости глянуть. Дык глянь или моск совсем уже оджавпскриптился
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #27

27. Сообщение от Аноним (-), 20-Дек-24, 15:17	–2 +/–
>> Интересно было бы там уязвимости глянуть. > Дык глянь Зачем? Проще подождать и почитать на опеннете очередную новость "в libvlc нашли уязвимости" > или моск совсем уже оджавпскриптился фу как некрасиво, тебе бы поработать над своим воспитанием, раз родители недоработали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

28. Сообщение от Аноним (28), 20-Дек-24, 15:18	–1 +/–
Он же на C, что ещё было ожидать? По этой причине не стали его использовать в своё время. И ещё из-за невменяемой схемы распространения с невменяемым разделением плагинов на good/bad/ugly.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

29. Сообщение от Аноним (12), 20-Дек-24, 15:25	+/–
> второй кстати прав а это для первого https://theirstack.com/en/technology/ffmpeg/us
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

31. Сообщение от 12yoexpert (ok), 20-Дек-24, 15:37	+/–
исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #39

33. Сообщение от Аноним (33), 20-Дек-24, 15:55	+1 +/–
Переименовали , потому что в tracker-miners одна уязвимость за другой. Совет тут простой. GNOME и подобные жирные куски раздать нуждающимся, а самому воздержаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

34. Сообщение от Аноним (35), 20-Дек-24, 16:11	+4 +/–
При этом, люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!" Главное, когда такие вопросы задаёшь, игнорировать реальность и не замечать новостей про десятки уязвимостей из-за ошибок работы с памятью в одном лишь приложении. А если даже и замечать, то говорить "ну и что, тебе же ничего через них не сломали!". Сишкофилам хочется пожелать одного: давайте вы весь военный софт на своей сишечке напишете? Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте. А потом сравним. Как это один известный человек сказал - проведём высокотехнологический эксперимент.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #77, #86, #131

35. Сообщение от Аноним (35), 20-Дек-24, 16:13	+/–
Да, все уже привыкли к уязвимостям и тому, что всё кругом дырявое. Вяло уже как-то. А если уязвимостей будет ещё меньше, так станет ещё скучнее. А хочется-то веселухи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #78

37. Сообщение от Аноним (-), 20-Дек-24, 16:24	+1 +/–
> Зато легче для кодера чем ффмпег. Конечно легче - вон насколько оно "перфорированно". Зато потешатся любители экономить каждый байт памяти и не важно, что дырявое)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

39. Сообщение от Аноним (-), 20-Дек-24, 16:28	+/–
> исследование от майкрософт, которые пытаются везде пропихнуть раст, о том, что везде нужно пропихнуть раст. классика, но уже скучно Хм.. т.е это наймиты мелкомягких проникли в команду Г-стримера (код с большой буквы Г) и сделали все эти ошибки-уязвимости? Какое коварство! Уже не в первый раз растовики подбрасывают код в штаны СИшникам. Надо с этим срочно что-то делать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #41, #124

41. Сообщение от Аноним (35), 20-Дек-24, 16:33	+2 +/–
> Надо с этим срочно что-то делать! Добавить статических анализаторов, срочно. И ещё, это ... как там, забыл. Блин, важное что-то ... а, просто уметь писать код. Вот тогда уж заживём, и никакой раст не нужен будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #48, #57

42. Сообщение от Аноним (42), 20-Дек-24, 16:36	+2 +/–
> а также субтитров > индексирует все файлы в домашнем каталоге без каких-либо действий со стороны пользователя Т.е ты скачал субтитры для своего хентая, а оно похакало твой комп просто в момент "сохранил на в папку download" Звучит нормально для СИшных проектов и ГНОМа)).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

43. Сообщение от ijuij (?), 20-Дек-24, 16:39	+1 +/–
Просто переход на Rust не уберет уязвимости, они просто изменят свою форму. Не забывай об этом! 🛡️
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #45

44. Сообщение от Аноним (44), 20-Дек-24, 16:44	+/–
Вывод: не стоит хранить файлы с паролями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

45. Сообщение от Аноним (35), 20-Дек-24, 16:49	+1 +/–
Если у тебя 50% всех уязвимостей происходят из-за работы с памятью, то уязвимостей станет в два раза меньше. Их не останется столько же в изменённой форме, их станет в два раза меньше. Причём именно они обычно связаны с RCE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #49, #58

46. Сообщение от Аноним (46), 20-Дек-24, 16:56	+1 +/–
GStreamer - это предшественник PipeWire. Написать адаптер, выкинуть оригинал, и забыть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #113

48. Сообщение от Аноним (-), 20-Дек-24, 17:00	+/–
Погоди, Настоящий СИшник пишет отличный код и без всяких анализаторов и прочих смузихлебных новинок. Вон диды написали кучу кода "на котором мир держится". Такие чудесные проекты как ХОрг, ж-либ-с, ядро линукс. Ты бы еще предложил на этапе компиляции проверять, чтобы никакой указатель не испортился, чтобы все висячие ссылки проверялись. А что дальше? Может боровчекер добавить?! Да ты небось растовик в майкрософте работаешь!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

49. Сообщение от Аноним (-), 20-Дек-24, 17:01	–1 +/–
> Если у тебя 50% всех уязвимостей происходят из-за работы с памятью Ну, в данном конкретном случае все 100% - это проблемы с памятью. Даже всякие Integer underflow потом стреляют из-за OOB. Но дыряшечники будут "лепить галимые отмазы": - зачем это если есть ffmpeg (ахаха, а типа ffmpeg не такое же омнище с Integer Overflow CVE-2024-35366, Double Free CVE-2024-35368 и Out-of-bounds Read CVE-2024-35367) - это специально так написали, потому что им так заказали (ребята, у вас все сишные продукты дырявые, в таком случае всех уже купили и вообще никому доверять нельзя) - это не настоящий сишник, вот настоящий бы никогда! (а настоящих не существует, хехе)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #52, #101, #103

50. Сообщение от Аноним (-), 20-Дек-24, 17:02	+2 +/–
Нельзя. Начнется воняние "на моем ядре 2.3 оно не запустится! как вы посмели что-то выкидывать" и тд То что мы видим в каждой первой теме про выпиливания некрокода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #81, #126

51. Сообщение от Аноним (51), 20-Дек-24, 17:10	+7 +/–
Brain
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #122, #134

52. Сообщение от Аноним (35), 20-Дек-24, 17:10	+/–
> зачем это если есть ffmpeg Причём, этот ффмпег точно также можно было бы и на расте написать. Всё с теми же ассемблерными вставками, которые раст поддерживает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

53. Сообщение от Аноним (51), 20-Дек-24, 17:12	–2 +/–
Указатели есть везде, даже в Паскале. Просто не все их показывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #102, #106

54. Сообщение от Аноним (51), 20-Дек-24, 17:15	+1 +/–
FFmpeg на Rust переписали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #56, #74

55. Сообщение от Аноним (16), 20-Дек-24, 17:17	+/–
Это ты сам долумал как про бабайку. Через сабжевые уязвимости за всю историю не было ни одного взлома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

56. Сообщение от Аноним (16), 20-Дек-24, 17:18	+/–
Даже на Аду не переписали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

57. Сообщение от Аноним (16), 20-Дек-24, 17:18	–2 +/–
Где переписанное на Раст или аду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

58. Сообщение от Аноним (16), 20-Дек-24, 17:20	+/–
И сколько реалтных проблем причинили эти уязвимости нуль? И это при том что самые большие утечки происходят по причине неправильной обработки путей. При том что Раст тоже неправильно обрабатывает пути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #133

74. Сообщение от Аноним (-), 20-Дек-24, 18:02	+/–
> FFmpeg на Rust переписали? Нет конечно. Это же огроменный кусок ка... кода. Да и диды копротивляются переписыванию, поэтому по частям не перепишешь. А переписывать все сразу - это очень долго, все-таки кодовая база большая - пилят почти четверть века. А вот отдельные кодеки и сопутствующее на раст перерисывают -  rust-av, rav1e, rav1d, ivf-rs, matroska, ffv1, av-mp4, lewton и тд. Но понятно что процесс будет не быстры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #89

76. Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:07	+1 +/–
Запускаю плееры в изоляции уже давно и вам советую.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #143

77. Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:09	+/–
Ну напиши такой же плеер по функционалу. Пока все что виду от местных любителей — комментарии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #88

78. Сообщение от 12yoexpert (ok), 20-Дек-24, 18:25	+2 +/–
посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #91, #104

81. Сообщение от Аноним (81), 20-Дек-24, 18:29	+/–
Какая проблема сделать другу версию, а не выкидывать все подряд что и так работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #108

83. Сообщение от Аноним (83), 20-Дек-24, 18:32	+/–
>systemctl А без systemd? Или это только с системгой и гомом? То бишь, сферически и в вакууме?
Ответить | Правка | Наверх | Cообщить модератору

86. Сообщение от Аноним (88), 20-Дек-24, 18:39	+/–
> люди постоянно удивляются - "ну зачем они опять переписывают на раст то, что уже и так написано? Только и могут, что переписывать!" Удивляютя сугубо опеннетные комментаторы - те, которые к разработке ПО никакого отношения не имеют. Причем на поверку как правило оказывается, что чем меньше персонаж шарит в C, тем сильнее он воюет против Раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #105

87. Сообщение от Аноним (87), 20-Дек-24, 18:43	+1 +/–
Гном-сервис который автоматически находит и запускает экспоиты это уже или ещё не совсем год линукса на дескпопе?
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Аноним (88), 20-Дек-24, 18:45	–1 +/–
> Ну напиши такой же плеер по функционал Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются: https://gstreamer.freedesktop.org/releases/1.22/ "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #93, #94, #95, #116

89. Сообщение от Аноним (44), 20-Дек-24, 18:45	–1 +/–
А где же нейросети, про которые столько говорят? Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #92

91. Сообщение от Аноним (-), 20-Дек-24, 18:49	+/–
> посмотрю я на тебя через пару лет, когда у тебя в coreutils реклама будет, а отключить ты её не сможешь, потому что всё уже будет на раст, зависящее от сотни фреймфорков и не работающее без цифровой подписи майкрософт Охохоюшки, вот это поток мысли! Но если опускаться на твой уровень... То во-первых, типа нельзя будет опенсорсные uutils (coreutils на расте и благословенной свободной MIT) форкнуть и делать с ними что пожелаешь? А во вторых, на сишке написанно куча проприетарного софта и всем пофиг. ps ты главное закрывай замки понадежнее, а вдруг придет майкрософт и запилит тебе двери свой цифровой под-пись-ю))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #142

92. Сообщение от Аноним (92), 20-Дек-24, 18:52	+3 +/–
> А где же нейросети, про которые столько говорят? > Вот, мол, нейросеть перепишет весь код с "дыряшки" на Раст? Эм... кто такое говорит? Я слышал из реального только одни экспериментальный проект у DARPA (opennet.ru/opennews/art.shtml?num=61656). И больше про него ничего слышно не было. А если ты про местных комментаторов... То пфффф. Основная проблема что тебе нужно сеть на чем-то обучить. А большая часть си кода - это лютый 6ыdloкод без проверок, с нарушением прав владения (да, в сишке нет явного borrowing, но неявный есть всегда и его все равно нужно соблюдать), поточности и тд. Как ты его на раст оттранслируешь? Оно просто не скомпилируется. Там местами вообще архитектуру менять придется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

93. Сообщение от Аноним (-), 20-Дек-24, 18:54	–2 +/–
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer сами на Раст давно перекатываются: > https://gstreamer.freedesktop.org/releases/1.22/ Ого, спасибо за уточнение. Конечно bindings + plugins это только начало, но самый трудный - первый шаг. > "33% of GStreamer commits are now in Rust (bindings + plugins), and the Rust plugins module is also where most of the new plugins are added these days." Жду с нетерпением анонса переделывания основного проекта. Тогда точно в комментах будут полыхающие седалища.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #117

94. Сообщение от Аноним (-), 20-Дек-24, 18:57	+/–
> Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer > сами на Раст давно перекатываются: Сделать биндинги и разрешить писать плагины - это не называется перекатываться. Ползут в направлении в лучшем случае. Но сам факт удивляет, это да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

95. Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 18:58	+/–
>> Ну напиши такой же плеер по функционал > Зачем ему писать такой же плеер? Тем более что авторы самого Gstreamer > сами на Раст давно перекатываются: А ну как обычно. Зачем писать что-то, если можно паразитировать и переписывать. Типикал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #97

97. Сообщение от Аноним (-), 20-Дек-24, 19:04	–2 +/–
Зачем перестраивать дом если можно жить в землянке? Зачем делать нормальный санузел, если можно бегать на улицу? Зачем делать нормально, если можно кушать уязвимый код и нахваливать? Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали сами разработчики GStreamerʼа. На ком они паразитируют, гений?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #99

99. Сообщение от Вы забыли заполнить поле Name (?), 20-Дек-24, 20:06	+3 +/–
> Зачем перестраивать дом если можно жить в землянке? > Зачем делать нормальный санузел, если можно бегать на улицу? > Зачем делать нормально, если можно кушать уязвимый код и нахваливать? Мастер сравнений просто. Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса. > Твой в-сер особенно смешной с учетом того, что "паразитировать и переписывать" начали > сами разработчики GStreamerʼа. > На ком они паразитируют, гений? И? А ты такой радостный что кто-то там начал что-то переписывать? Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #107

101. Сообщение от Аноним (101), 20-Дек-24, 20:37	+/–
> в данном конкретном случае все 100% - это проблемы с памятью. Это смещённость выборки. Там coverage driven fuzzing использовался, но к нему необходим какой-то алгоритмический способ выявления косяков, и я подозреваю, что автор использовал что-то типа valgrind'а, который детектировал именно ошибки работы с памятью, не замечая никаких других. То есть, в этом списке не могли возникнуть ошибки не сводящиеся к неправильной работе с памятью. Невозможно по этому исследованию судить о том, сколько там ошибок другого типа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #109

102. Сообщение от Аноним (102), 20-Дек-24, 20:39	–2 +/–
Указателей практически нигде нет, исключение это си, плюсы, и ещё сравнительно небольшой список языков. В других языках ссылки. Ссылки не допускают арифметики укзателей, произвольных преобразования, ссылок на несуществующие участки памяти и так далее. Даже с учётом указателей, можно взять зависимые типы и строго контролировать происходящее. Но сишники слишком увлечены порчей памяти, чтобы знать об этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #120, #121, #147

103. Сообщение от Аноним (102), 20-Дек-24, 20:44	+/–
>Даже всякие Integer underflow потом стреляют из-за OOB. Специально против такого и придуманы зависимые типы. Но опять же, сишникам некогда читать матан, они дырки плодят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

104. Сообщение от Аноним (102), 20-Дек-24, 20:48	+/–
У параноиков не возникает вопрос как си защитит их от цифровой подписи, они строго уверены, что цифровая подпись возможна только на растие. А ещё параноики не доверяют фреймворкам, и пишут код каждый раз с нуля, заново собирая все баги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #118

105. Сообщение от Аноним (-), 20-Дек-24, 20:55	+/–
Может это синдром утенка? Это как футбольные и прочие фанаты - готовы бить физиономии тем кто обозвал их любимую команду кривоногими инвалидами. Думаю тут такое же - с детства им вбивали в голову что есть один идеальный ЯП созданный гениальным коммитетом и вообще самый лучший. А тут приходят какие-то сопляки и говорят "да у вас тут дыреней как в шапке почтальона Печкина!". Естественно это вызывает баттхерт и гневные вопли. А потом когда начинаешь задавать вопрос по сonformance они чего-то сливаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

106. Сообщение от Аноним (-), 20-Дек-24, 21:00	+1 +/–
> не все их показывают. Я б сказал, не все доверяют программисту работать с указателями так, как тому захотелось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #138

107. Сообщение от Аноним (-), 20-Дек-24, 21:06	–2 +/–
> Ну если тебе будет удобнее так, то ты не сам дом построил, а пришел в уже готовый и начал хозяйничать без спроса. Ого, а на доме кто написал д̶о̶м̶ ̶с̶в̶о̶б̶о̶д̶е̶н̶,̶ ̶ж̶и̶в̶и̶т̶е̶ ̶к̶т̶о̶ ̶х̶о̶т̶и̶т̶е̶ код под GPL форкайте / патчите кто хотите? Или мне нужно спрашивать "а можно к вам отправить pull request"? Если мой патч не подойдет создателям проекта - они его просто отклонят, это кажется должно быть понятно любому. Но этот код приняли - значит всех все устраивает. > И? А ты такой радостный что кто-то там начал что-то переписывать? Конечно. Если больше проектов будут переходить на нормальные языки -> больше людей будут понимать что "не дырявыми одними" -> будет больше запросов на программы на нормальных языках -> у меня будет больший выбор проектов для работы. Для меня одни плюсы. > Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор! Воооообще не стыдно) Написать свой, но зачем? У меня то все нормально работает. А стыдно это - брак гнать, годами причем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #135, #136

108. Сообщение от Аноним (-), 20-Дек-24, 21:10	+/–
Угу, а теперь поддерживать 2 куска кода. Проводить тестирование, отслеживать регрессии. Это же так просто, когда этим занимается кто-то другой!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

109. Сообщение от Аноним (109), 20-Дек-24, 21:26	+/–
> Это смещённость выборки. На 100% уверены? Тут есть пройтись по тегу GStreamer, то увидим забавный список новостей: Две уязвимости - Use-After-Free и переполнение буфера (opennet.ru/opennews/art.shtml?num=60185) Три уязвимости - целочисленное переполнение с потенциальным выполнением кода, переполнение буфера (opennet.ru/opennews/art.shtml?num=59852) Две уязвимости - целочисленное переполнение с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59592) Две уязвимости - переполнение буфера с потенциальным выполнением кода (opennet.ru/opennews/art.shtml?num=59410) Одна уязвимость - переполнением буфера + выполнение кода, даже с примером эксплойта (opennet.ru/opennews/art.shtml?num=54465) И это только первая страница поиска (15 новостей), дальше мне лень)) Как видим у GStreamer есть невероятно богатое и дырявое сишное прошлое. Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #112

110. Сообщение от Анонимусс (-), 20-Дек-24, 21:35	+/–
Ого, а новость обновилась. > Помимо 29 уязвимостей, выявленных исследователями из GitHub Security > Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей. Прям какое-то сишное бинго сегодня! Они бы еще написали сколько лет каждая из дыреней жила в этом прекрасном коде, написсаном луДшими погромистами современности! Может еще не вечер, и что-то еще найдут?))
Ответить | Правка | Наверх | Cообщить модератору

111. Сообщение от Аноним (-), 20-Дек-24, 21:40	+/–
>  Помимо 29 уязвимостей, выявленных исследователями из GitHub Security Lab, в версии 1.24.10 заявлено об исправлении ещё 11 уязвимостей. Да что ж такое! Надо срочно запретить статические анализаторы, а то они показывают дидов в нехорошем виде. И вгоняют фанатиков небезопасных языков в депрессию)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #114

112. Сообщение от Аноним (112), 20-Дек-24, 22:49	+/–
> Поэтому можно конечно попытаться объяснить происходящее "особенной" выборкой... Есть разница между "объяснить происходящее" и "сделать из происходящего дальнейшие выводы". Если ты исходя из убеждения в дырявости gstreamer'а делаешь вывод, что эта выборка говорит о дырявости gstreamer'а, а потом делаешь дальнейший вывод о дырявости gsreamer'а... Знаешь, я когда учился на первом курсе, мой одногруппник летел с экзамена по матану дальше чем видел, совершив схожую ошибку. По-моему, он попытался предел sinx/x взять правилом Лопиталя, применение которого требует знания производной sin, а производная sin выводится с опорой на взятый предел sinx/x. Препод гаркнул "циклический вывод" и с пинка отправил дурака из аудитории на пересдачу. В данном случае я лишь говорю о том, что из данного исследования в новости нельзя делать никаких выводов о том, каких багов в gstreamer'е больше, багов с памятью или каких-то других. Я не говорю о том, что таких выводов нельзя сделать опираясь на другие факты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

113. Сообщение от Анонем (?), 21-Дек-24, 00:29	+/–
> GStreamer - это предшественник PipeWire. Вроде не совсем так. У них разные задачи. Условно говоря, GStreamer это обработка и декодирование потоков. А Pipewire – диспетчеризация. Наверное, теоретически, можно реализовать кодеки и всякие эффекты внутри Pipewire, но зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #127

114. Сообщение от Аноним (-), 21-Дек-24, 00:57	+/–
> Надо срочно запретить статические анализаторы Это не статические анализаторы, а coverage driven fuzzing. Идея в том, что фаззер подаёт на вход программе всякие данные, наблюдает за всеми условными переходами, и подбирает такие последовательности на входе, чтобы пронаблюдать как каждый из условных переходов сработает и как он не сработает. Я не знаю, как они там детектируют баги при этом, но предполагаю, что помимо фаззера на выполнением программы наблюдает ещё и valgrind или что-нибудь в этом роде. Потом приходит человек, и разбирает выхлоп валгринда, и перерабатывает его в список багов. Статический анализ тут ни при чём совершенно. Кроме того, я б сказал, что если код на безопасных языках обильно присыпать assert'ами, то такой фаззинг может и им помочь избавляться от "безопасных" багов, достаточно гонять фаззер и ждать, когда тот наступит на какой-нибудь assert.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

115. Сообщение от Skullnet (ok), 21-Дек-24, 02:19	+3 +/–
Видимо никогда не пробовал его юзать, документации по нему ноль. Если что-то не работает, то хз почему. Лучше уж ффмпег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

116. Сообщение от Аноним (12), 21-Дек-24, 03:30	+/–
> 33% of GStreamer commits are now in Rust это два года назад было, сейчас уже 101%. Там самый буйный переписыватель, я с ним как-то пересекался в одном опенсорсном проекте, он предлагал мне мой патч выпилить чтобы его патч заработал. Причём его патч абсолютно левый - какие-то никому ненужные нестандартные форматы добавлял. Мой патч исправлял баг вендорского ядра - там не принимают сторонние патчи, поэтому пришлось локальный костыль делать, собственно весь плагин был под это ядро написан. Ну т.е. понятно да - хер на вас, не важно что перестанет работать, главное чтобы у него заработало :) видимо на заказах сидит и надо стало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

117. Сообщение от Аноним (12), 21-Дек-24, 03:36	–1 +/–
> Жду с нетерпением анонса переделывания основного проекта. геморой насидишь, 5 звёзд за несколько лет на гихабе намекают тебе об охеренной нужности расто-плугинов https://github.com/GStreamer/gst-plugins-rs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #119

118. Сообщение от 12yoexpert (ok), 21-Дек-24, 04:15	+/–
> что цифровая подпись возможна только на растие где ты это прочитал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

119. Сообщение от Аноним (119), 21-Дек-24, 04:26	+/–
> звёзд за несколько лет на гихабе намекают А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #129

120. Сообщение от Аноним (120), 21-Дек-24, 04:27	+1 +/–
Как мне тогда прочитать данные из устройства по адресу 0xacabb33f
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #132, #148

121. Сообщение от anonymos (?), 21-Дек-24, 04:29	+/–
Когда ты пишешь очередную формочку с кнопочками, тогда указатели не нужны. А вот когда работаешь с железом, то "я их дом труба шатал", кто думает что лучше меня знает, как нужно сделать в данном конкретном случае. Указатели - это свобода реализации своих замыслов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

122. Сообщение от Аноним (122), 21-Дек-24, 05:02	+2 +/–
К счастью, он, всё равно, не использовался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #151

124. Сообщение от Аноним (122), 21-Дек-24, 05:12	+/–
Начните срочно анализировать код на Rust'е. И под unsafe-ковер не забудьте заглянуть. Узнаете много нового об уязвимостях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

125. Сообщение от Циноман (?), 21-Дек-24, 05:13	+1 +/–
Советующие rust, вы правда считаете, что ЯП, ПО на котором нельзя адекватно собрать оффлайн без добавки на несколько попядков большего числа исодников, прям безопаснее? Довольно печальная ведь получается математика.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #128

126. Сообщение от Аноним (126), 21-Дек-24, 07:55	+/–
Ну бэкпортировать на старые ядра. Линус же юзерспейс не ломает, должно быть сравнительно легко.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

127. Сообщение от Аноним (126), 21-Дек-24, 07:56	+/–
В общем сильно опоздавший клон Windows Media Foundation.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

128. Сообщение от ТожеРусский (ok), 21-Дек-24, 08:46	+/–
Не понял, а если ты в сишной программе хочешь использовать уже ранее написанный код, то как ты это сделаешь без этого написанного кода? Без ... исходников? С уже собранной библой слинкуешься что ли? А чем это более безопасно, по сравнению со сбором исходников?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #130

129. Сообщение от Аноним (12), 21-Дек-24, 09:40	+/–
> А "mirrored from https://gitlab.freedesktop.org/gstreamer/gst-plugins-rs.git&... тебе ни на что не намекает? да - это зеркало! Сравно с зеркалом linux https://github.com/torvalds/linux
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

130. Сообщение от Аноним (130), 21-Дек-24, 10:00	+/–
В сишных программах не учатся жрать с пола исходники, когда надо написать лефтпад, в сишных пргограммах либо он есть в базовой либе, либо пишется с руки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #137

131. Сообщение от Аноним (12), 21-Дек-24, 10:28	+/–
> Хельсинг вон все бортовые системы управления боевыми дронами пишет на расте. это он вам сам сказал ? так вы тоже говорите - проверить всё равно невозможно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

132. Сообщение от YetAnotherOnanym (ok), 21-Дек-24, 20:43	+/–
Не надо читать данные по адресу, это дырень же ж!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

133. Сообщение от Аноним (133), 21-Дек-24, 21:06	+/–
А вот и отмазка нумер 42 из 100500
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

134. Сообщение от Аноним (2), 21-Дек-24, 21:26	+/–
Ага, Brain то явно через указатели ломали. Указали куда надо, а там полный беспредел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

135. Сообщение от Вы забыли заполнить поле Name (?), 22-Дек-24, 00:13	+/–
>> Ведь за 15 лет нельзя было написать свой, а не ждать. Стыдно должно быть тебе. Позор! > Воооообще не стыдно) > Написать свой, но зачем? У меня то все нормально работает. > А стыдно это - брак гнать, годами причем. Нормально у тебя работает явно не плеер на расте, которого нет. Значит ты 15 лет пользуешься чем-то "бракованным" (как ты сам заявляешь) и вот сейчас тебя вдруг порвало об это заявить? Может за эти 15 лет ты завел где-то баги?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

136. Сообщение от Вы забыли заполнить поле Name (?), 22-Дек-24, 00:49	+/–
>> И? А ты такой радостный что кто-то там начал что-то переписывать? > Конечно. Если больше проектов будут переходить на нормальные языки -> больше людей > будут понимать что "не дырявыми одними" -> будет больше запросов на > программы на нормальных языках -> у меня будет больший выбор проектов > для работы. > у меня будет больший выбор проектов > больший? А какой сейчас? Ноль?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

137. Сообщение от ТожеРусский (ok), 22-Дек-24, 08:44	+/–
> в сишных пргограммах либо он есть в базовой либе, либо пишется с руки В сишных программах вообще дохрена чего нет, в том числе в базовой либе. И язык скудный, и стандартная библиотека. Поэтому там либо постоянно изобретают велосипед, косой и кривой, либо используют скудные технические решения, типа размещения массива на стеке потому, что в языке нет родных нормальных коллекций типа array list, linked list, hashmap, и так далее, либо всё также линкуются со сторонними либами, которые предоставляют нужное. Кстати, подход большой базовой либы оказался мертворожденным. Когда его придумывали ещё этого не понимали, к авторам претензий никаких нет, это было давно. А те, кто за толстую базовую либу топят сейчас просто не понимают, про что говорят. Ну просто люди не в теме развития программирования как науки. Стандартная библиотека - это кладбище. По своему устройству, чисто логически. Потому, что она призвана быть надёжным основанием для программ, которые пишутся на языке. Это значит, что в ней нельзя или очень нежелательно ломать совместимость. Это значит, что если у присутсвующего там решения появляется существенно лучшая альтернатива, то старьё в этой библиотеке остаётся мёртвым грузом, потому что все переходят на стороннее решение. Со временем библиотека начинает представлять из себя кучу мёртвого API которое никто не использует, кроме старого кода, который никто не хочет переписывать под новый API. Такая судьба постигает все, абсолютно все стандартные библиотеки. Python, Java, Scala, C++, и так далее. Поэтому в идеале стандартную библиотеку делают минимальной - только самое необходимое, что нужно везде и всегда. Разумеется сишники, живущие в изоляции от внешнего мира последние 30 лет ничего этого не знают и не понимают. Только раст их разбудил из глубокого сна, они такие вылезли типа чё, чё это у вас тут, код какой-то переиспользуете, фичи языка какие-то не такие, как у нас было принято 30 лет назад. Умойтесь, блин. Проснитесь уже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130 Ответы: #139

138. Сообщение от Дмитрий (??), 22-Дек-24, 12:24	+/–
A нужно наказывать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

139. Сообщение от Аноним (-), 22-Дек-24, 12:51	+/–
> Поэтому в идеале стандартную библиотеку делают минимальной - только самое необходимое, что нужно везде и всегда. Вот только "что нужно везде и всегда" очень разнится от сферы применения. Для МК и прочей эмбедовки нужно миниально. Для системщины - уже более. А для прикладного, можно и целую кучу ункций и возможностей использовать. Например, нужен ли класс/структура/объект String ? А ведь в СИшке из коробки их нет до сих пор, а в плюсы добавили не в первую версию. В итоге - парад велосипедов, постоянные проблемы и даже порожденные ими CVEшки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #145, #146

142. Сообщение от InuYasha (??), 22-Дек-24, 21:06	+/–
Не смешно потому что ЦП M$ уже давно уровнем ниже coreutils сидит. И не так страшна реклама которую смотришь ты, как реклама которая смотрит тебя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

143. Сообщение от InuYasha (??), 22-Дек-24, 21:08	–1 +/–
Изоляция синяя, всё по ко канонам? Или новомодной термоусадкой? :-/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

145. Сообщение от Аноним (145), 23-Дек-24, 05:36	+/–
> Вот только "что нужно везде и всегда" очень разнится от сферы применения. Для МК и прочей эмбедовки нужно миниально. Да, в расте это решено через то, что стандартная библиотека - опциональна. При этом куча хороших, сторонних библиотек под раст умеют собираться в режиме «без стд», что позволяет переиспользовать кучу полезного кода даже там, где нет операционной системы. При этом на уровне «без стд» всё равно есть какие-то типы, которые ваще самые самые базовые, фактически часть языка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

146. Сообщение от Аноним (145), 23-Дек-24, 05:39	+/–
> В итоге - парад велосипедов, постоянные проблемы и даже порожденные ими CVEшки. Парад велосипедов был бы в любом случае, вопрос только в том, где - как опциональные либы на выбор или как часть базовой библиотеки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

147. Сообщение от Бывалый Смузихлёб (ok), 24-Дек-24, 10:17	+/–
тогда почему в разных ЯП столько дыр с памятью если почти везде ссылки которые практически ничего не допускают и почти всё контролируют ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #149

148. Сообщение от Аноним (148), 24-Дек-24, 11:13	+/–
По ссылке и прочитать. http://0xacabb33f
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

149. Сообщение от Аноним (149), 25-Дек-24, 18:30	+/–
10 лет работаю с дотнетом, не видел уязвимостей с памятью ни разу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #150

150. Сообщение от EULA (?), 26-Дек-24, 06:58	+/–
Поэтому в .Net столько CVE, позволяющих выполнить произвольный код или переписать занятый участок памяти...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

151. Сообщение от ivanpetrov (ok), 09-Янв-25, 12:32	+/–
Нужно, больше, запятых,
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема