neprihlásený Utorok, 18. júna 2019, dnes má meniny Vratislav   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
VLC opravil desiatky bezpečnostných chýb, vďaka odmenám EÚ

Značky: VLCbezpečnosť

DSL.sk, 11.6.2019


Tvorcovia populárneho multiplatformového prehrávača multimédií VLC aktuálne vydali novú verziu VLC 3.0.7, ktorá opravuje množstvo bezpečnostných chýb vďaka finančnej podpore projektu FOSSA realizovaného Európskou komisiou.

Projekt v tohtoročnom pokračovaní podporil bezpečnosť 15 open source softvérov formou finančných odmien za nájdené bezpečnostné zraniteľnosti pre ich objaviteľov, spoluprácou s dvomi platformami, HackerOne a Intigriti.

Medzi týmito softvérmi bol aj VLC. Cez program mu bolo podľa oznámenia nahlásených až 33 bezpečnostných zraniteľností. Podľa klasifikácie tvorcov softvéru boli dve vážne potenciálne zrejme umožňujúce hacknutie, jedna sa ale nachádzala až vo vývojovej verzii 4.0 a nebola prítomná v súčasných bežných verziách 3.0. Druhá sa nachádzala v knižnici faad2 používanej VLC.

Až 21 zraniteľností malo strednú závažnosť, viaceré boli ale technického typu teoreticky umožňujúceho hacknutie vrátane pretečenia heapu a použitia pamäte po uvoľnení. Podľa tvorcov by v prípade operačného systému s ochranou ASLR nemali byť zneužiteľné na hacknutie, minimálne ale umožňujú zhodenie prehrávača.

Ďalších 10 zraniteľností bolo menej závažného technického typu, ktoré nie sú zneužiteľné na hacknutie.

Hoci program pomohol nájsť množstvo zraniteľností vo VLC a šéf organizácie VideoLAN vyvíjajúcej VLC Jean-Baptiste Kempf v popise prínosu ďakuje Európskej komisii a nahlasovateľom, zároveň čiastočne kontroverzne kritizuje princíp takýchto programov. Princíp kritizuje, keď podľa neho by odmeny mali byť udeľované za opravovanie chýb a nie ich hľadanie, a svoju kritiku zhŕňa do výzvy "prečo nedať peniaze priamo VLC namiesto hackerom?"

V tomto procese je ale typicky oveľa náročnejšie hľadanie bezpečnostných chýb ako ich oprava, ktorá môže spočívať bežne aj v zmene jedného riadku zdrojových kódov, názor sa preto zdá pomerne kontroverzný.


      Zdieľaj na Twitteri



Najnovšie články:

Huawei konečne priznal vážny dopad amerických sankcií
Google sám prevezme nasadzovanie náhrady SMS v Androide
Linux je možné na diaľku zhodiť, pre chybu v TCP
Samsung Smart TV je dôležité skenovať na vírusy každých pár týždňov, upozornil Samsung
Všetkých 500 najvýkonnejších superpočítačov má už výkon aspoň petaflop
USA údajne infikovali ruskú rozvodnú sieť útočným malvérom
Prvé testy prichádzajúcich PCI Express 4.0 M.2 SSD
Huawei sa údajne pripravuje na veľký prepad predajov smartfónov
Dodávateľ vlád sa vie dostať do všetkých iPhonov a vlajkových Samsungov
Antivírus AVG mohol užívateľom Firefoxu odstrániť heslá, riešenie


Diskusia:
                               
 

Upozorňujem, že vaše posledné tvrdenie je trochu scestné. Nájsť chybu je jedna vec a oprava je iná vec.
Iste nájdenie chyby a jej lokalizácia je ťažká vec, ale správne opravenie je vec druhá. Môže sa totiž kľudne stať, že opravením jednej chyby otvoríte vrátka niekde inde. Taktiež ide aj o to, že opravou chýb nastane niekedy zmena smeru aplikácie a potom sa môže projekt dostať do slepej uličky. Je to podobné ako keď Napoleon napadol Rusko: urobil takticky správnu vec, ale strategický nezmysel a taký bol aj konečný výsledok.
Odpovedať Známka: -2.9 Hodnotiť:
 

Napoleon urobil správnu vec.
Vyriešil preľudnenosť francúzka a ruskú šľachtu naučil hovoriť po Rusky a lebo dovtedy hovorili francúzsky.
Odpovedať Známka: 0.8 Hodnotiť:
 

Túto logiku používajú Rusi aj dnes.
Rusi urobili viac pre samostatnosť Ukrajiny ako EU.
Tým že obsadili Krim priam ženú Ukrajinu do EU.
Asi sa chcú zbaviť Černobylu.
Odpovedať Známka: -4.0 Hodnotiť:
 

Ano ano, Cernobyl je momentalne vsade. Ty ten serial pozeras taktiez a patris medzi tu cast obyvatelstva ktora napise Krym s makkym.
Odpovedať Známka: 5.6 Hodnotiť:
 

Die Krim.

Příběh Valerije: My umřeme. Ale ta špína tady po nás zůstane ještě 240 tisíc let‘.
Odpovedať Známka: 0.0 Hodnotiť:
 

No praveze nie, pretoze nechali nohu vo dverach Ukrajiny a nechcu sa z nej vypoklonkovat - do NATO ich pre vojnu na Donbase nechceme.
Odpovedať Hodnotiť:
 

Upozorňujem, že vaše posledné tvrdenie je trochu scestné.
Odpovedať Hodnotiť:
 

upozornujem, ze ma uz druhy den priserne svrbi veniec.
Odpovedať Hodnotiť:
 

Vyslovím teraz takú kacírsku myšlienku, ale inak to asi nepôjde. Občas sa treba aj osprchovať, zvlášť v letných mesiacoch.
Odpovedať Hodnotiť:
 

Jean-Baptiste Kempf - DEBIL

A čo keby EU rovno naprogramovala VLC a nemusela by dávať peniaze nikomu.

Veď aj hackeri potrebujú niečo jesť, nie len firmy.
Odpovedať Známka: -6.0 Hodnotiť:
 

Dáva to zmysel, iba vtedy ak o tých chybách Kempf vedel už predtým, ale nevedeli ich opraviť.
V takom prípade je naozaj hlúpe platiť za zverejnenie chyby, a malo by sa platiť za opravu chyby.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ak o tých chybách vedel a trvá dlho ich oraviť, mal ich aj tak zverejniť a mohol mať peniaze.
Ak to neurobil je hlupák.
Odpovedať Známka: 5.0 Hodnotiť:
 

Ono to aj tak asi bolo, ale neurobil to ako firma, ale zverejnili ich vyvojari VLC.
Takže peniaze išli správnym ľudom.
Horšie ako hlúposť je lakomosť.
Odpovedať Hodnotiť:
 

Chces povedat, ze ak by EU zakazala VLC, tak by okrem vyriesenia problemu bola aj lakoma?
Odpovedať Hodnotiť:
 

nerozumiem tomu preco prave vlc je kriticke pre EU.

EU nema ziaden CPU vo svojej moci a dokonca ani najpouzivanejsi OS na desktope
Odpovedať Známka: -3.3 Hodnotiť:
 

Nie len VLC. Vybrali taky softver, co s najvacsou pravdepodobnostou najdes na lubovolnom nahodnom pocitaci ,tj je dobre adresovatelny hackermi. Toto vynikajuca cesta, ako zvysit celkovu bezpecnost na internete.
Odpovedať Známka: 2.0 Hodnotiť:
 

..si naozaj myslis, ze zrovna (Sorosovska, Kalergiho) EU (roMed Agenda) ma tak velmi na srdci obecne blaho, a zlepsovanie provozn.parametrov Internetu, Lan-sieti, a pc ? ( /mobilov, tabletov, ntbkov)

skutocna pravda je ovela ina... ( ~~ s tym Vlc programom, any apps, dostane do svojho pc, do userovho any device pekny darcek gratis ~~ "bretschneiderovske rozsirenie...

a uz si jen cajti, eko-veganskii leftardi z blizkej eko-bio-raw-vegan-cajovne, a uz aj prave ..pripruvsii, nain-vazovani negro-arabi budu chodt po kazdeho 1 bieleho, a najma holky, proste po vsetkych bielyych, ~~zatim jen po tich, co zrovna .."nevitaju..
..si idem objednat, a prizvaruvat dalsie bezpecnost mreze, na okna, dvere...
heh, a vraj nejaky revolver, nejaku pistolku?, na zbrojak, pre osobnu ..security? ?
heh, na smiech..
Vravim vam ~
~ aj GAU~8 by bol este malo, ani 100tisic GAU-12 by asi nestacilo, na tu ..zombiie apokalipsu ( = World War "Z" , tam je to uplne presne popisane, vsetjko..)
Odpovedať Známka: -7.3 Hodnotiť:
 

Pozri,

sú aj dobrý ľudia ktorí si myslia že pomáhajú a zlepšujú stav. To že Kalegiho plán existuje, ešte nemusí nutne ten plán nastať.
Aj keď sa o to niektorí (zlovoľný/slniečkarsky/nevedomí ľudia) snažia čo môžu.

FOSS softvér zo strany ľudských organizácií ako je únia alebo štát, je dobré podporovať.

Nožíkom (FOSS softvérom) môžeš podrezať/zabiť ale aj odrezať niečo.

To pri všeobecnom FOSS platí. U uzavretom softvéru je to s konkrétnym dobrom pre všetkých horšie.
Odpovedať Hodnotiť:
 

wut?
Odpovedať Hodnotiť:
 

A čo robili doteraz?
Odpovedať Známka: 5.0 Hodnotiť:
 

Čokoľvek iné.
Odpovedať Známka: 10.0 Hodnotiť:
 

Priekazne sa nezayebávali hodnotením každej generickej misie EÚ.
Odpovedať Známka: -5.0 Hodnotiť:
 

aha, tak preto mi vlc pri filmoch tak strasne seka, laguje, aaj uplne zamrza..
(na tom mojom srotiku, z r.2002 )

..hm ale proc ich, v tom NWO, zaujala prave vlc-player? ?! - v tom musi byt zas nejaka ..zidovina, sorosovina sorosovskich neZISKOVIEK! ( s ich white-race genocide agendou, a Kalergiho planom :0 :S :/( :/ :(

...aha! uz sa plizia, uz sa blizia, uz sa kradmo zakradaju!
aj vcera, som uz az 3 negro-arabov videl, z balkona! :o tu v piestanwch..
hic este aj v tieni, a oni boli naobliekany, jak take 3 hrube, hlucne hromady .. (uplne mi pripomenuly tych enemy alenovz 1 starsieho, N.Z.sci-fi serialu, /novely, z *80tich.. *Pod Horou )

*Nasi dedinou nepratelskyy ag.. negr..cernoch, /muslim neprojde! !!*
Odpovedať Známka: -7.1 Hodnotiť:
 

Generátor náhodných slov?
Odpovedať Známka: 4.5 Hodnotiť:
 

Tak ako celá diskusia... chlapcovi len zajebalo z čítania diskusií na DSL.
Odpovedať Známka: 3.3 Hodnotiť:
 

Nie, to je (zatial nedokonaly) prototyp noveho AI s kodovym oznaceim KotleBot
Odpovedať Známka: 10.0 Hodnotiť:
 

Veru, kto tu hlavne zarobil na politike je Kotleba, co k poslaneckemu platu prisiel aj k domu za statne peniaze oficialne ako sidlo strany... veru nie.... to umela AI nikdy nevlozi do svojho repertoaru. :D
Odpovedať Hodnotiť:

Pridať komentár