VLC opravil desiatky bezpečnostných chýb, vďaka odmenám EÚ

Značky: VLCEÚbezpečnosť

DSL.sk, 11.6.2019

Tvorcovia populárneho multiplatformového prehrávača multimédií VLC aktuálne vydali novú verziu VLC 3.0.7, ktorá opravuje množstvo bezpečnostných chýb vďaka finančnej podpore projektu FOSSA realizovaného Európskou komisiou.

Projekt v tohtoročnom pokračovaní podporil bezpečnosť 15 open source softvérov formou finančných odmien za nájdené bezpečnostné zraniteľnosti pre ich objaviteľov, spoluprácou s dvomi platformami, HackerOne a Intigriti.

Medzi týmito softvérmi bol aj VLC. Cez program mu bolo podľa oznámenia nahlásených až 33 bezpečnostných zraniteľností. Podľa klasifikácie tvorcov softvéru boli dve vážne potenciálne zrejme umožňujúce hacknutie, jedna sa ale nachádzala až vo vývojovej verzii 4.0 a nebola prítomná v súčasných bežných verziách 3.0. Druhá sa nachádzala v knižnici faad2 používanej VLC.

Až 21 zraniteľností malo strednú závažnosť, viaceré boli ale technického typu teoreticky umožňujúceho hacknutie vrátane pretečenia heapu a použitia pamäte po uvoľnení. Podľa tvorcov by v prípade operačného systému s ochranou ASLR nemali byť zneužiteľné na hacknutie, minimálne ale umožňujú zhodenie prehrávača.

Ďalších 10 zraniteľností bolo menej závažného technického typu, ktoré nie sú zneužiteľné na hacknutie.

Hoci program pomohol nájsť množstvo zraniteľností vo VLC a šéf organizácie VideoLAN vyvíjajúcej VLC Jean-Baptiste Kempf v popise prínosu ďakuje Európskej komisii a nahlasovateľom, zároveň čiastočne kontroverzne kritizuje princíp takýchto programov. Princíp kritizuje, keď podľa neho by odmeny mali byť udeľované za opravovanie chýb a nie ich hľadanie, a svoju kritiku zhŕňa do výzvy "prečo nedať peniaze priamo VLC namiesto hackerom?"

V tomto procese je ale typicky oveľa náročnejšie hľadanie bezpečnostných chýb ako ich oprava, ktorá môže spočívať bežne aj v zmene jedného riadku zdrojových kódov, názor sa preto zdá pomerne kontroverzný.




Najnovšie články:



Diskusia:

trochu scestné Od: marekzt | Pridané: 11.6.2019 10:07 Upozorňujem, že vaše posledné tvrdenie je trochu scestné. Nájsť chybu je jedna vec a oprava je iná vec. Iste nájdenie chyby a jej lokalizácia je ťažká vec, ale správne opravenie je vec druhá. Môže sa totiž kľudne stať, že opravením jednej chyby otvoríte vrátka niekde inde. Taktiež ide aj o to, že opravou chýb nastane niekedy zmena smeru aplikácie a potom sa môže projekt dostať do slepej uličky. Je to podobné ako keď Napoleon napadol Rusko: urobil takticky správnu vec, ale strategický nezmysel a taký bol aj konečný výsledok. Odpovedať Známka: -3.3 Hodnotiť:

Re: trochu scestné Od reg.: zatvor_Rit | Pridané: 11.6.2019 10:11 Napoleon urobil správnu vec. Vyriešil preľudnenosť francúzka a ruskú šľachtu naučil hovoriť po Rusky a lebo dovtedy hovorili francúzsky. Odpovedať Známka: 0.8 Hodnotiť:

Re: trochu scestné Od reg.: ktopojebalmojuvlast | Pridané: 11.6.2019 10:30 Túto logiku používajú Rusi aj dnes. Rusi urobili viac pre samostatnosť Ukrajiny ako EU. Tým že obsadili Krim priam ženú Ukrajinu do EU. Asi sa chcú zbaviť Černobylu. Odpovedať Známka: -4.3 Hodnotiť:

Re: trochu scestné Od: santa santa | Pridané: 11.6.2019 11:03 Ano ano, Cernobyl je momentalne vsade. Ty ten serial pozeras taktiez a patris medzi tu cast obyvatelstva ktora napise Krym s makkym. Odpovedať Známka: 5.6 Hodnotiť:

Re: trochu scestné Od reg.: ktopojebalmojuvlast | Pridané: 11.6.2019 11:24 Die Krim. Příběh Valerije: My umřeme. Ale ta špína tady po nás zůstane ještě 240 tisíc let‘. Odpovedať Známka: 0.0 Hodnotiť:

Re: trochu scestné Od reg.: DenisaSakovaExpertkaSmeruNaVsetko | Pridané: 12.6.2019 9:41 No praveze nie, pretoze nechali nohu vo dverach Ukrajiny a nechcu sa z nej vypoklonkovat - do NATO ich pre vojnu na Donbase nechceme. Odpovedať Hodnotiť:

Re: trochu scestné Od: xyz. | Pridané: 12.6.2019 18:34 Upozorňujem, že vaše posledné tvrdenie je trochu scestné. Odpovedať Hodnotiť:

Re: trochu scestné Od: reg.: Pjetro de | Pridané: 12.6.2019 19:35 upozornujem, ze ma uz druhy den priserne svrbi veniec. Odpovedať Hodnotiť:

Re: trochu scestné Od: xyz. | Pridané: 13.6.2019 0:20 Vyslovím teraz takú kacírsku myšlienku, ale inak to asi nepôjde. Občas sa treba aj osprchovať, zvlášť v letných mesiacoch. Odpovedať Hodnotiť:

moj názor Od reg.: zatvor_Rit | Pridané: 11.6.2019 10:08 Jean-Baptiste Kempf - DEBIL A čo keby EU rovno naprogramovala VLC a nemusela by dávať peniaze nikomu. Veď aj hackeri potrebujú niečo jesť, nie len firmy. Odpovedať Známka: -6.0 Hodnotiť:

Re: aj tak je lakomý debil Od reg.: ktopojebalmojuvlast | Pridané: 11.6.2019 10:14 Dáva to zmysel, iba vtedy ak o tých chybách Kempf vedel už predtým, ale nevedeli ich opraviť. V takom prípade je naozaj hlúpe platiť za zverejnenie chyby, a malo by sa platiť za opravu chyby. Odpovedať Známka: 10.0 Hodnotiť:

čim bohatší tým hlúpejší Od reg.: zatvor_Rit | Pridané: 11.6.2019 10:19 Ak o tých chybách vedel a trvá dlho ich oraviť, mal ich aj tak zverejniť a mohol mať peniaze. Ak to neurobil je hlupák. Odpovedať Známka: 5.0 Hodnotiť:

Re: čim bohatší tým hlúpejší Od reg.: ktopojebalmojuvlast | Pridané: 11.6.2019 10:22 Ono to aj tak asi bolo, ale neurobil to ako firma, ale zverejnili ich vyvojari VLC. Takže peniaze išli správnym ľudom. Horšie ako hlúposť je lakomosť. Odpovedať Hodnotiť:

Re: čim bohatší tým hlúpejší Od reg.: DenisaSakovaExpertkaSmeruNaVsetko | Pridané: 12.6.2019 9:47 Chces povedat, ze ak by EU zakazala VLC, tak by okrem vyriesenia problemu bola aj lakoma? Odpovedať Hodnotiť:

gjyuk Od: jozo34563456 | Pridané: 11.6.2019 10:18 nerozumiem tomu preco prave vlc je kriticke pre EU. EU nema ziaden CPU vo svojej moci a dokonca ani najpouzivanejsi OS na desktope Odpovedať Známka: -3.3 Hodnotiť:

Re: gjyuk Od: 48484848 | Pridané: 11.6.2019 15:48 Nie len VLC. Vybrali taky softver, co s najvacsou pravdepodobnostou najdes na lubovolnom nahodnom pocitaci ,tj je dobre adresovatelny hackermi. Toto vynikajuca cesta, ako zvysit celkovu bezpecnost na internete. Odpovedať Známka: 2.0 Hodnotiť:

Re: ..a kdo neviita, po toho si zachvilu dojdu! Od: LytaRyta v nesnazich,zivorici | Pridané: 11.6.2019 17:40 ..si naozaj myslis, ze zrovna (Sorosovska, Kalergiho) EU (roMed Agenda) ma tak velmi na srdci obecne blaho, a zlepsovanie provozn.parametrov Internetu, Lan-sieti, a pc ? ( /mobilov, tabletov, ntbkov) skutocna pravda je ovela ina... ( ~~ s tym Vlc programom, any apps, dostane do svojho pc, do userovho any device pekny darcek gratis ~~ "bretschneiderovske rozsirenie... a uz si jen cajti, eko-veganskii leftardi z blizkej eko-bio-raw-vegan-cajovne, a uz aj prave ..pripruvsii, nain-vazovani negro-arabi budu chodt po kazdeho 1 bieleho, a najma holky, proste po vsetkych bielyych, ~~zatim jen po tich, co zrovna .."nevitaju.. ..si idem objednat, a prizvaruvat dalsie bezpecnost mreze, na okna, dvere... heh, a vraj nejaky revolver, nejaku pistolku?, na zbrojak, pre osobnu ..security? ? heh, na smiech.. Vravim vam ~ ~ aj GAU~8 by bol este malo, ani 100tisic GAU-12 by asi nestacilo, na tu ..zombiie apokalipsu ( = World War "Z" , tam je to uplne presne popisane, vsetjko..) Odpovedať Známka: -7.3 Hodnotiť:

Re: ..a kdo neviita, po toho si zachvilu dojdu! Od: Dušan123 | Pridané: 12.6.2019 11:58 Pozri, sú aj dobrý ľudia ktorí si myslia že pomáhajú a zlepšujú stav. To že Kalegiho plán existuje, ešte nemusí nutne ten plán nastať. Aj keď sa o to niektorí (zlovoľný/slniečkarsky/nevedomí ľudia) snažia čo môžu. FOSS softvér zo strany ľudských organizácií ako je únia alebo štát, je dobré podporovať. Nožíkom (FOSS softvérom) môžeš podrezať/zabiť ale aj odrezať niečo. To pri všeobecnom FOSS platí. U uzavretom softvéru je to s konkrétnym dobrom pre všetkých horšie. Odpovedať Hodnotiť:

Re: ..a kdo neviita, po toho si zachvilu dojdu! Od: sensei-san | Pridané: 12.6.2019 12:23 wut? Odpovedať Hodnotiť:

Prapodivne dlhý čas Od: Wernher | Pridané: 11.6.2019 10:58 A čo robili doteraz? Odpovedať Známka: 5.0 Hodnotiť:

Re: Prapodivne dlhý čas Od: Odpovednik | Pridané: 11.6.2019 11:08 Čokoľvek iné. Odpovedať Známka: 10.0 Hodnotiť:

ultraradikalny gamerizmus Od: syntaxterrorX .XXX | Pridané: 11.6.2019 11:27 Priekazne sa nezayebávali hodnotením každej generickej misie EÚ. Odpovedať Známka: -5.0 Hodnotiť:

na co sorosova EU -med2000 siahne, to zmrsi Od: LytaRyta v nesnazich,zivorici | Pridané: 11.6.2019 12:52 aha, tak preto mi vlc pri filmoch tak strasne seka, laguje, aaj uplne zamrza.. (na tom mojom srotiku, z r.2002 ) ..hm ale proc ich, v tom NWO, zaujala prave vlc-player? ?! - v tom musi byt zas nejaka ..zidovina, sorosovina sorosovskich neZISKOVIEK! ( s ich white-race genocide agendou, a Kalergiho planom :0 :S :/( :/ :( ...aha! uz sa plizia, uz sa blizia, uz sa kradmo zakradaju! aj vcera, som uz az 3 negro-arabov videl, z balkona! :o tu v piestanwch.. hic este aj v tieni, a oni boli naobliekany, jak take 3 hrube, hlucne hromady .. (uplne mi pripomenuly tych enemy alenovz 1 starsieho, N.Z.sci-fi serialu, /novely, z *80tich.. *Pod Horou ) *Nasi dedinou nepratelskyy ag.. negr..cernoch, /muslim neprojde! !!* Odpovedať Známka: -7.1 Hodnotiť:

Re: na co sorosova EU -med2000 siahne, to zmrsi Od: Utorokniejepiatok | Pridané: 11.6.2019 14:12 Generátor náhodných slov? Odpovedať Známka: 4.5 Hodnotiť:

Re: na co sorosova EU -med2000 siahne, to zmrsi Od: kamokere | Pridané: 11.6.2019 16:44 Tak ako celá diskusia... chlapcovi len zajebalo z čítania diskusií na DSL. Odpovedať Známka: 3.3 Hodnotiť:

Re: na co sorosova EU -med2000 siahne, to zmrsi Od reg.: John D. Bill | Pridané: 12.6.2019 9:34 Nie, to je (zatial nedokonaly) prototyp noveho AI s kodovym oznaceim KotleBot Odpovedať Známka: 10.0 Hodnotiť:

Re: na co sorosova EU -med2000 siahne, to zmrsi Od reg.: DenisaSakovaExpertkaSmeruNaVsetko | Pridané: 12.6.2019 9:44 Veru, kto tu hlavne zarobil na politike je Kotleba, co k poslaneckemu platu prisiel aj k domu za statne peniaze oficialne ako sidlo strany... veru nie.... to umela AI nikdy nevlozi do svojho repertoaru. :D Odpovedať Hodnotiť:

Pridať komentár