forum.opennet.ru

Составление сообщения

Исходное сообщение

"Конфликт между Secunia и VideoLAN, связанный с устранением у..."
Отправлено opennews, 10-Июл-13 11:13

Компания Secunia Research выступила (http://secunia.com/blog/372/) с критикой методов реагирования проекта VideoLAN на обнаружение уязвимостей в медиапроигрывателе VLC, приведя пример двух уязвимостей, позволяющих организовать выполнение кода при обработке файлов в форматах SWF и MKV. Первая уязвимость (http://secunia.com/advisories/51464/) была выявлена в декабре прошлого года, а вторая (http://secunia.com/advisories/52956/) в апреля нынешнего года. Исправление первой проблемы было заявлено ещё в выпуске  2.0.5, но на деле уязвимость остаётся неисправленной до сих пор, в том числе и в последней версии 2.0.7. Похожая ситуация наблюдается и со второй уязвимостью, исправления которой не вошли в состав VLC 2.0.7. По заявлению Secunia Research компания уже несколько месяцев не может добиться исправления уязвимостей и поэтому вынуждена придать ситуацию огласке.

В ответ на критику разработчики VLC опубликовали (http://www.jbkempf.com/blog/post/2013/More-lies-from-Secunia) достаточно резкое сообщение, в котором обвинили Secunia во лжи и предвзятости. По поводу первой уязвимости утверждается, что VLC никогда официально не поддерживал формат SWF, уязвимость находится в коде библиотеки из состава FFmpeg/libav и исправление было включено в сборки VLC 2.0.5. Secunia  указывает на то, что было устранено лишь частное проявление проблемы, но уязвимость по сути осталась неисправленной. Что касается проблем в сторонних библиотеках, то сборки VLC поставляются статически связанными с уязвимой версией libav, что делает весь продукт уязвимым, независимо от того в чём коде имеется ошибка.

Вторая уязвимость заявлена разработчиками VLC как неэксплуатируемая и приводящая только к краху приложения, поэтому они не считают проблему уязвимостью. В ответ на данное заявление, в списке рассылки FullDisclosure независимым исследователем безопасности был опубликован (http://seclists.org/fulldisclosure/2013/Jul/71) рабочий прототип эксплоита (ранее эксплоит не был доступен публично), показывающий, что проблема представляет реальную угрозу для пользователей. В примечании указывается, что  Secunia Research профессионально занимается проблемами безопасности, поэтому стоит прислушаться к их мнению о степени опасности проблемы, а не придумывать оправдания о незначительности выявленной ошибки.
URL: http://secunia.com/blog/372/
Новость: http://www.opennet.ru/opennews/art.shtml?num=37389

Исходное сообщение
"Конфликт между Secunia и VideoLAN, связанный с устранением у..." Отправлено opennews, 10-Июл-13 11:13
Компания Secunia Research выступила (http://secunia.com/blog/372/) с критикой методов реагирования проекта VideoLAN на обнаружение уязвимостей в медиапроигрывателе VLC, приведя пример двух уязвимостей, позволяющих организовать выполнение кода при обработке файлов в форматах SWF и MKV. Первая уязвимость (http://secunia.com/advisories/51464/) была выявлена в декабре прошлого года, а вторая (http://secunia.com/advisories/52956/) в апреля нынешнего года. Исправление первой проблемы было заявлено ещё в выпуске 2.0.5, но на деле уязвимость остаётся неисправленной до сих пор, в том числе и в последней версии 2.0.7. Похожая ситуация наблюдается и со второй уязвимостью, исправления которой не вошли в состав VLC 2.0.7. По заявлению Secunia Research компания уже несколько месяцев не может добиться исправления уязвимостей и поэтому вынуждена придать ситуацию огласке. В ответ на критику разработчики VLC опубликовали (http://www.jbkempf.com/blog/post/2013/More-lies-from-Secunia) достаточно резкое сообщение, в котором обвинили Secunia во лжи и предвзятости. По поводу первой уязвимости утверждается, что VLC никогда официально не поддерживал формат SWF, уязвимость находится в коде библиотеки из состава FFmpeg/libav и исправление было включено в сборки VLC 2.0.5. Secunia указывает на то, что было устранено лишь частное проявление проблемы, но уязвимость по сути осталась неисправленной. Что касается проблем в сторонних библиотеках, то сборки VLC поставляются статически связанными с уязвимой версией libav, что делает весь продукт уязвимым, независимо от того в чём коде имеется ошибка. Вторая уязвимость заявлена разработчиками VLC как неэксплуатируемая и приводящая только к краху приложения, поэтому они не считают проблему уязвимостью. В ответ на данное заявление, в списке рассылки FullDisclosure независимым исследователем безопасности был опубликован (http://seclists.org/fulldisclosure/2013/Jul/71) рабочий прототип эксплоита (ранее эксплоит не был доступен публично), показывающий, что проблема представляет реальную угрозу для пользователей. В примечании указывается, что Secunia Research профессионально занимается проблемами безопасности, поэтому стоит прислушаться к их мнению о степени опасности проблемы, а не придумывать оправдания о незначительности выявленной ошибки. URL: http://secunia.com/blog/372/ Новость: http://www.opennet.ru/opennews/art.shtml?num=37389

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Secunia Research выступила (http://secunia.com/blog/372/) с критикой методов 
> реагирования проекта VideoLAN на обнаружение уязвимостей в медиапроигрывателе VLC, приведя 
> пример двух уязвимостей, позволяющих организовать выполнение кода при обработке файлов 
> в форматах SWF и MKV. Первая уязвимость (http://secunia.com/advisories/51464/) была выявлена 
> в декабре прошлого года, а вторая (http://secunia.com/advisories/52956/) в апреля нынешнего 
> года. Исправление первой проблемы было заявлено ещё в выпуске  2.0.5, 
> но на деле уязвимость остаётся неисправленной до сих пор, в том 
> числе и в последней версии 2.0.7. Похожая ситуация наблюдается и со 
> второй уязвимостью, исправления которой не вошли в состав VLC 2.0.7. По 
> заявлению Secunia Research компания уже несколько месяцев не может добиться исправления 
> уязвимостей и поэтому вынуждена придать ситуацию огласке.

> В ответ на критику разработчики VLC опубликовали (http://www.jbkempf.com/blog/post/2013/More-lies-from-Secunia) 
> достаточно резкое сообщение, в котором обвинили Secunia во лжи и предвзятости. 
> По поводу первой уязвимости утверждается, что VLC никогда официально не поддерживал 
> формат SWF, уязвимость находится в коде библиотеки из состава FFmpeg/libav и 
> исправление было включено в сборки VLC 2.0.5. Secunia  указывает на 
> то, что было устранено лишь частное проявление проблемы, но уязвимость по 
> сути осталась неисправленной. Что касается проблем в сторонних библиотеках, то сборки 
> VLC поставляются статически связанными с уязвимой версией libav, что делает весь 
> продукт уязвимым, независимо от того в чём коде имеется ошибка.

> Вторая уязвимость заявлена разработчиками VLC как неэксплуатируемая и приводящая только 
> к краху приложения, поэтому они не считают проблему уязвимостью. В ответ 
> на данное заявление, в списке рассылки FullDisclosure независимым исследователем безопасности 
> был опубликован (http://seclists.org/fulldisclosure/2013/Jul/71) рабочий прототип 
> эксплоита (ранее эксплоит не был доступен публично), показывающий, что проблема представляет 
> реальную угрозу для пользователей. В примечании указывается, что  Secunia Research 
> профессионально занимается проблемами безопасности, поэтому стоит прислушаться к их мнению 
> о степени опасности проблемы, а не придумывать оправдания о незначительности выявленной 
> ошибки.

> URL: http://secunia.com/blog/372/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=37389

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру