Specialisté? Kdyby "specialisté" raději prohlásili, že "nebezpečná sekvence" se může vyskytovat naprosto všude a tam, kde je pro ni dostatečně velký prostor.
Další vlna úspěšných virů budou sekvenční.Různé části naprosto nefunkčních datových celků bez logické identifikace budou různými cestami bez povšimnutí transportovány do systémů, úložišť, zařízení.Až budou všechny ve světě, poslední sekvence je spojí a celý produkt aktivuje.To pak bude sranda!
Obecne bez ohledu na to zdali je tohle fake nebo neni jsou ty video prehravace celkem prusvih a beru je jako nejzranitelnejsi soucast sveho programoveho vybaveni. Jednak jsou obecne velmi spatne napsane a jednak pouzivam dost stare neaktualizovane verze, coz bezpecnosti prilis neprospiva. Bohuzel jedno souvisi s druhym, zatimco normalni programy aktualizuji okamzite, abych zlikvidoval pripadne vulnerabilities, tak u video prehravacu si to netroufam, protoze kvuli jejich nizke kvalite je vysoka pravdepodobnost zavleceni nove chyby pri upgrade a pak je to strasny o*er to poladit, aby to zase fungovalo. Tolikrat uz jsem si v minulosti nabehnul pri upgradech, ze uz jsem hodne obezretny. Treba KMPlayer mam asi rok stary, protoze novejsi verze mely chybu pri zpracovani vicekanaloveho zvuku a netroufam si nahrat novou verzi, abych zase nemusel slozite hledat starou verzi co je jeste bez chyby. 3-[
Chápu, na Linuxu je to těžké. Ale zase si můžeš každej večer překompilovat jádro, to mi na Windows nemůžeme. B-]
Autor článku stejně jako spousta dalších troubů skočila na fake. V textových titulcích nic navíc nemůže být, protože přehrávač to čte jako text a nemůže to spustit. Takže jen debilita na entou.
Samozrejme, ze i v textivem titulku byt muze...I nad tim obCejnym textakem probiha parsovani textu atd.... a v pripade neosetreneho nejakeho "corner" pripadu, ve spojeni s nejakym hezkym budfer under/over/flow..... neni vubec vyloucene aby se povedlo spustit i nejaky binarni srot frknuty do titulku.Byly tu i divocejsi chBy, nwz by byla takovato
Divoky je hlavne tvuj spelling. 😃
A jak myslíte, že jsou napadány třeba webové prohlížeče? Kouzelnou hůlkou na dálku?
SRT titulky čte odshora dolů u Notepad (PoznámkovýBlok) nebo PSPad (lepší), stačí prolétnout a ihned bude vidět co vybočuje s časových pozic (značek). Divné, chtěl bych vidět ten soubor, přesný postup jak toto může získat někam přístup.
Může aspoň někdo z toho stáda mínusovačů napsat co je v tomto dolfovo komentu špatně?Nebo opravdu jen tupě reagujete na nick diskutujícího?"PSPad (lepší)" — naprostá pravda, požívám už roky.
krásná uklázka že automatické akce sebou vždy přinášejí částečnou míru rizika 🙂 bohužel je to daň za manuální hledání požadovaných souborů.
Je to cele takove trochu podezrele. Checkpoint o tom referuje velmi, velmi vagne a vsichni ostatni jen zbesile cituji Checkpoint. Vi nekdo o opravdovem overeni z jineho zdroje, ci detailnejsim popisu procesu "nakazeni"?
Proč redaktor dává na obrázek k článku screenshot z programu Media Player Classic, když se ho to vůbec netýká? Přitom práci s upravením CZ titulků aby obsahovali "bulvární textík" si dal. To je tak těžké nainstalovat si některý z rizikových přehráváčů? Vždyť za to berete peníze - stiďte se! Lenost, nebo v horším případě cílené zavádění a "šíření poplašné zprávy" před objektivitou...
Koukám na to líp, a je to VLC... omlouvám se, moje chyba. VLC se ale taky minimálně v tom videu od těch specialistů nevyskytuje. Týká se jej to tedy?
kazdopadne po dlhom case vyslo nove vlc, bugfixy, takze urcite aktualizovat
Může mi někdo říct, jak se proti tomu bránit pasivní cestou? Stačí Avira a aktualizovaný Win?
Nestačí. Měl bys hlavně udržovat aktuální veškerý software co používáš. Všechny přehrávače to už mají opravené :)
Vážně je takový problém jít na domovskou stránku přehravače a stáhnout aktualizaci? Jestli ti záplata nestojí ani za tu minutu času, měl bys něco chytout, aby ses poučil.
SRT titulky SAMOZŘEJMĚ zavirované být nemohou(!!!), respektive mohou, ale kód viru by se za prvé NESPUSTIL a za druhé by měl problém s integritou titulků každý přehrávač.Chyba spočívá v tom, že přehrávač NESTAHUJE jenom SRT nebo SUB titulky, ale stahuje KOMPRIMOVANÝ SOUBOR, který následně extrahuje a právě v tom komprimovaném souboru je uložený ještě spustitelný soubor, který se automaticky spustí zároveň s tím, když přehrávač předá pokyn systému, aby komprimovaný soubor extrahoval.Takže pokud stahujete titulky normálně ručně, tak Vám žádné zavirování ze SRT titulků nehrozí - nadpis článku je KRAVINA!!
Už po přečtení nadpisu jsem tady vůbec šel s tím, že to bude buď zranitelnost jednoho konkrétního přehrávače, a nebo tam bude nějaký hodně zásadní háček, který z nadpisu dělá kachnu. Bez jakéhokoliv překvapení B je správně.
No, zrovna VLC opravovalo nedavno niekolko heap buffer overflow chyb v spracovani SRT. Staci sa pozriet do historie v gite, kde tie opravy zodpovedaju popisu v original blogposte od checkpointu (VLC - ParseJSS Null Skip Subtitle Remote Code Execution). Tie priciny RCE budu asi rozne pre rozne prehravace, takze to zas az taka kravina uplne nebude :)
Všechno nasvědčuje tomu, že u VLC se skutečně nejspíš jednalo o heap buffer overflow, v Kodi pak neošetřené procházení zip archivů a v případě PopcornTime jde zase o XSS útok, jelikož renderuje titulky v HTML.
I když napíšeš KRAVINA a dáš tam třeba 5 vykřičníků, tak se pleteš. Jistě že se kód nespustí sám od sebe - spustí se ale v konkrétím přehrávači, který obsahuje chybu.
Kdysi jsem řešil i zavirovaný balík mp trojek. Tehdá šlo dát virus jen do spustitelných souborů, takže com, exe a možná sys. Taky jsem tedá koukal, jak může někdo vpravit virus do mp3, která se vlastně procesorem nevykonává jako spustitelný kód, sada instrukcí, ale jsou to jen data a metadata, která popisují název, interpreta, album, a tak a která přehrávač jen čte. Nevím, co ten virus tehdá dělal, ani už jak se jmenoval, ale vím, že to v tom bylo pěkně zakouslé a nešlo to jen tak odstranit. Byl na to special postup a musely se na to pustit asi 3 nástroje. Sice to šlo celkem rychle pryč a bez následků, ale byl to humus se toho zbavit. Kdo si na to vzpomenete, dejte vědět.
za co má tenhle člověk takovejch mínusů? přece si to nevymyslel...
Protože škodlivý kód nemusí být nutně jen ve spustitelném souboru.
"Zavirované mp3" klidně mohly být. Ale vir si je nejspíš jen uchovával jako kontejnery nějakých dat, s kterými potom ještě nějak pracoval. Ovšem kromě těch mp3 jsi v počítači musel mít ještě samotný VIR jako nějaký spustitelný soubor nebo skript.Hodně virů se šíří třeba i přes flashdisky pomocí funkce autorun (automatické spuštění), kterou má historicky Windows kvůli pohodlnému přehrávání CD a DVD disků a u výměnných flash disků zůstala zachována a v minulosti byla automaticky aktivní.Vir se pak šířil tak, že při zapojení jakéhokoli výměnného disku do něj zapsal upravený autorun a skrytý soubor s virem + případně mohl i něco uložit ke kopírovaným datům - klidně k mp3. Takto unikl pozornosti běžného uživatele, kterému se skryté soubory nezobrazují a když ho později identifikoval antivir, tak označoval jako závadné i ty mp3, ale z nich to nakažení primárně být nemohlo.Takže jak už jsem psal - vir může svá data nahrát klidně do mp3, jpeg nebo třeba txt, ale nemůže se pomocí jich šířit ani spouštět. Může je využívat jenom jako datové kontejnery.
Tak vzhledem k tomu, že .mp3 má i metadata, která se někde mají zobrazit, tak pokud je ve zobrazujícím programu chyba, dá se provést code injection
jo to si pamatuju! :) kdo spustil jednu takovou nakaženou MP3, tak to začalo "asimilovat" všechny další MP3 v dostupných složkách... to bude ale už tak 5 nebo více let. Tenkrát to bylo docela "haló".. se divím, že si na to nekteří nepamatují.
že by něco z rodiny WMA/TrojanDownloader.GetCodec ??
hehe, tak eště že si stahuju filmy nebo seriály jenom ty, co jsou předabovaný do češtiny B-]B-]B-]B-]B-]
ááá, tady řádí antidabingová lobby - vyližte mi zadel! já chci poslouchat češtinu a ne čuměním na titulky přicházet o detaily obrazu!
poslouchat cestinu je u vetsiny filmu jako koukat na polskeho lektora, co dabuje vsechny postavy.. ale tak hloupemu plebsu to staci, ze jo
Pokud rozumim anglicky na takove urovni, abych se mohl divat na original zvoli clovek original, ale pokud nerozumim anglictine a budu u toho cist ceske titulky, tak k cemu puvodni zneni?
Ja mám nejraději kombinaci EN dabing a EN nebo žádné titulky. Alespoň se něco priucim když tupě zírám do monitoru.
Jak se vubec muze nekdo takhle blbe ptat? K cemu puvodni zneni? Co treba k tomu, abys proste slysel herce, na ktereho se divas, a ne nejakeho podradneho ochotnika, ktery to tu za par stovek monotonne dabuje? Abys dostal puvodni herecky projev herce, ktereho mas treba rad? Je to soucast umeleckeho dila. Nezavisle na tom, jak moc rozumis nebo nerozumis danemu jazyku.Navic tim skoro vzdy celkove utrpi zvukova stopa (nevyrovane urovne hlasitosti, kolisani, sumy a dalsi neprofesionality naseho lacineho dabingu, ale nejen naseho). Nemluve o tom, ze to casto pusobi strasne rusive, jak dabing nesedi uplne dobre na pohyb ust. A jak se musi upravovat texty, aby to sedelo alespon trochu, pricemz tim vznika nutnost prekladat nepresne a postavy pronaseji naproste ptakoviny, protoze lepe prelozeny text by jim proste nesedel do ust.Pak lidi nadavaji, jak je film hloupy, aniz by si uvedomovali, ze vetsina hlouposti je zpusobena dabingem/prekladem, ci zcela nevhodne zvolenymi hlasy pro dane postavy. Nezridka lide hodnoti film v puvodnim zneni lepe, nez hodnoti jeho dabovanou verzi.No nic, je mi jasne, ze psat to nekomu s takovym dotazem, jako je ten vyse, je hazeni hrachu na zed, ale vzdy u techto nazoru kroutim hlavou, jak malo "vnimavi" nekteri lide dokazou byt.
Nesnesu, když Bond mluví hlasem majora Zemana.
Pokud člověk rozumí, měl by dát přednost originálu. Jsou filmy, ale i v jiných jazycích, než je angličtina a ne každý je polyglot. Pak je otázka, jestli jsou lepší titulky a nebo dabing.
Nejlepší je původní znění s EN titulky.
To je otázka, ne každý si pustí TV, aby na ní četl, ale aby na ní koukal. Švihat očima neustále dolů na titulky a pak zpět na film, taky není zrovna relaxace. 😀
To je vcelku mimo srovnání. Lektor nejenže mluví všechny postavy, ale dělá to monotonně a ještě je k tomu slyšet v pozadí i originální hlas. Dabing je skutečné herecké umění, musí se vyjádřit veškeré emoce, ne to jen nějak odříkat...
Problém této metody je, že v lepším případě budete sledovat první řadu seriálu v době, kdy se bude v originále vysílat tak pátá, v horším vůbec. I když některé seriály (třeba The Walking Dead) mají dabing brzo, tak zase když jsem sledoval tři série v angličtině, tak přejít na češtinu nemůžu, neboť mám zafixové hlasy jednotlivých postav. Nehledě na to, že seriály a hry jsou dobrý způsob naučení se dobře pasivně angličtiny. B-]
Nemluve o tom, ze dabing serialu sel strasne dolu za ty roky (vice televiznich stanic, vice obsahu). U filmu si aspon nekdo vic zalazete. Vetsinou
... tedy pokud jste třeba nestrávili posledních 19 let za mřížemi a toto vše vás minulo ...good one 😉
Je to fake, uz to bylo na zahranicnich portalech uz to vyvratili, tady se to dozvime za dva tri dny...
Nj, taky jsem si říkal, co by asi tak mohlo být v blbým texťáku ...
Co já vím, třeba něco na způsob neošetřených textových inputů na fórech či SQL injection...
Pry to souvisi s titulky ktere jsou ziple.
V "blbým texťáku" může být cokoliv. Buffer overflow nebo heap overflow chyby počítají s tím, že kvůli chybě je obsah, který je někde v datovém souboru, vykonán jako regulérní strojový kód. Je jedno, jestli je v textovém nebo v jiném souboru.Na začátku můžou být normální titulky.
Odkaz?
tak proč vyšlo nový vlc kde je jako hlavní důvod nový verze červeně zvýrazněná oprava chyby v titulcích? když je to blábol podle tebe
No, třeba opravdu opravili nějakou chybu v titulcích, já nevím, nezobrazovaly se některé korejské znaky. To je klidně možné, že jde o shodu náhod, takové chyby se opravují průběžně.
Vlc opravovalo chybu zalamovani textu pro jazyky se specifickym kodovanim a nekdo se toho chytil...
"Jedná se tedy o další neotřelý způsob chování malwaru."To je zase blabol. Jedna se "jen" o vyuziti nezname, nebo jen nezalatane, chyby v dalsim softu.Jestli nezverejni dalsi info, nebo alespon seznam ohrozenych aplikaci, tak je info i s videem na 2 veci. Jenze jestli to mozne je, tak jako postouchnuti to zacit testovat asi staci - beztak ocekavam zase nejaky buffer overflow (docela by me zajimalo, kolik prehravacu se bude snazit zobrazit 10kB titulek, dalsi moznosti jsou hratky s formatovanim textu).
Postihnute aplikacie su samozrejme zname (vid original blogpost, linkovany z clanku), rovnako ako podrobnosti o chybach. Jedna sa o open source projekty, takze v momente commitu opravy do repozitaru, je znama aj pricina chyby. A ano, v pripade VLC ide o heap buffer overflow pri spracovani SRT :)
A co takový MV2 Player?No nic, stejně mám z mýcn XPček vzdálenou plochu a podobný sračky vykuchaný 😃
Ok, proc ne. Jenze ten exploit muze zkouset neco uplne jineho, nez blbou vzdalenou plochu, pro script kiddies bude zabavnejsi pouzit treba jen delete (at uz vasich dat, nebo systemovych souboru - ten "vtipek" Angela dokazal taky hodne lidi nastvat a AV byly, alespon ze zacatku, bezmocne).
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.