To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

Ok, proc ne. Jenze ten exploit muze zkouset neco uplne jineho, nez blbou vzdalenou plochu, pro script kiddies bude zabavnejsi pouzit treba jen delete (at uz vasich dat, nebo systemovych souboru - ten "vtipek" Angela dokazal taky hodne lidi nastvat a AV byly, alespon ze zacatku, bezmocne).

Postihnute aplikacie su samozrejme zname (vid original blogpost, linkovany z clanku), rovnako ako podrobnosti o chybach. Jedna sa o open source projekty, takze v momente commitu opravy do repozitaru, je znama aj pricina chyby. A ano, v pripade VLC ide o heap buffer overflow pri spracovani SRT :)

Nj, taky jsem si říkal, co by asi tak mohlo být v blbým texťáku ...

Co já vím, třeba něco na způsob neošetřených textových inputů na fórech či SQL injection...

Pry to souvisi s titulky ktere jsou ziple.

V "blbým texťáku" může být cokoliv. Buffer overflow nebo heap overflow chyby počítají s tím, že kvůli chybě je obsah, který je někde v datovém souboru, vykonán jako regulérní strojový kód. Je jedno, jestli je v textovém nebo v jiném souboru.
Na začátku můžou být normální titulky.

Odkaz?

tak proč vyšlo nový vlc kde je jako hlavní důvod nový verze červeně zvýrazněná oprava chyby v titulcích? když je to blábol podle tebe

No, třeba opravdu opravili nějakou chybu v titulcích, já nevím, nezobrazovaly se některé korejské znaky. To je klidně možné, že jde o shodu náhod, takové chyby se opravují průběžně.

Vlc opravovalo chybu zalamovani textu pro jazyky se specifickym kodovanim a nekdo se toho chytil...

ááá, tady řádí antidabingová lobby - vyližte mi zadel! já chci poslouchat češtinu a ne čuměním na titulky přicházet o detaily obrazu!

Lekce češtiny: | bych, bychom, byste; abych, abychom, abyste; kdybych, kdybychom, kdybyste... rozhodně NE "aby jsme" či "kdyby jste" | standarD (standarDní/ě) | perMaNeNt

poslouchat cestinu je u vetsiny filmu jako koukat na polskeho lektora, co dabuje vsechny postavy.. ale tak hloupemu plebsu to staci, ze jo

Pokud rozumim anglicky na takove urovni, abych se mohl divat na original zvoli clovek original, ale pokud nerozumim anglictine a budu u toho cist ceske titulky, tak k cemu puvodni zneni?

Ja mám nejraději kombinaci EN dabing a EN nebo žádné titulky. Alespoň se něco priucim když tupě zírám do monitoru.

Jak se vubec muze nekdo takhle blbe ptat? K cemu puvodni zneni? Co treba k tomu, abys proste slysel herce, na ktereho se divas, a ne nejakeho podradneho ochotnika, ktery to tu za par stovek monotonne dabuje? Abys dostal puvodni herecky projev herce, ktereho mas treba rad? Je to soucast umeleckeho dila. Nezavisle na tom, jak moc rozumis nebo nerozumis danemu jazyku.
Navic tim skoro vzdy celkove utrpi zvukova stopa (nevyrovane urovne hlasitosti, kolisani, sumy a dalsi neprofesionality naseho lacineho dabingu, ale nejen naseho). Nemluve o tom, ze to casto pusobi strasne rusive, jak dabing nesedi uplne dobre na pohyb ust. A jak se musi upravovat texty, aby to sedelo alespon trochu, pricemz tim vznika nutnost prekladat nepresne a postavy pronaseji naproste ptakoviny, protoze lepe prelozeny text by jim proste nesedel do ust.
Pak lidi nadavaji, jak je film hloupy, aniz by si uvedomovali, ze vetsina hlouposti je zpusobena dabingem/prekladem, ci zcela nevhodne zvolenymi hlasy pro dane postavy. Nezridka lide hodnoti film v puvodnim zneni lepe, nez hodnoti jeho dabovanou verzi.
No nic, je mi jasne, ze psat to nekomu s takovym dotazem, jako je ten vyse, je hazeni hrachu na zed, ale vzdy u techto nazoru kroutim hlavou, jak malo "vnimavi" nekteri lide dokazou byt.

Nesnesu, když Bond mluví hlasem majora Zemana.

Sent from my iPad

Pokud člověk rozumí, měl by dát přednost originálu. Jsou filmy, ale i v jiných jazycích, než je angličtina a ne každý je polyglot. Pak je otázka, jestli jsou lepší titulky a nebo dabing.

Nejlepší je původní znění s EN titulky.

To je otázka, ne každý si pustí TV, aby na ní četl, ale aby na ní koukal. Švihat očima neustále dolů na titulky a pak zpět na film, taky není zrovna relaxace.

To je vcelku mimo srovnání. Lektor nejenže mluví všechny postavy, ale dělá to monotonně a ještě je k tomu slyšet v pozadí i originální hlas. Dabing je skutečné herecké umění, musí se vyjádřit veškeré emoce, ne to jen nějak odříkat...

Problém této metody je, že v lepším případě budete sledovat první řadu seriálu v době, kdy se bude v originále vysílat tak pátá, v horším vůbec. I když některé seriály (třeba The Walking Dead) mají dabing brzo, tak zase když jsem sledoval tři série v angličtině, tak přejít na češtinu nemůžu, neboť mám zafixové hlasy jednotlivých postav. Nehledě na to, že seriály a hry jsou dobrý způsob naučení se dobře pasivně angličtiny.

Nemluve o tom, ze dabing serialu sel strasne dolu za ty roky (vice televiznich stanic, vice obsahu). U filmu si aspon nekdo vic zalazete. Vetsinou

za co má tenhle člověk takovejch mínusů? přece si to nevymyslel...

Lekce češtiny: | bych, bychom, byste; abych, abychom, abyste; kdybych, kdybychom, kdybyste... rozhodně NE "aby jsme" či "kdyby jste" | standarD (standarDní/ě) | perMaNeNt

Protože škodlivý kód nemusí být nutně jen ve spustitelném souboru.

"Zavirované mp3" klidně mohly být. Ale vir si je nejspíš jen uchovával jako kontejnery nějakých dat, s kterými potom ještě nějak pracoval. Ovšem kromě těch mp3 jsi v počítači musel mít ještě samotný VIR jako nějaký spustitelný soubor nebo skript.Hodně virů se šíří třeba i přes flashdisky pomocí funkce autorun (automatické spuštění), kterou má historicky Windows kvůli pohodlnému přehrávání CD a DVD disků a u výměnných flash disků zůstala zachována a v minulosti byla automaticky aktivní.Vir se pak šířil tak, že při zapojení jakéhokoli výměnného disku do něj zapsal upravený autorun a skrytý soubor s virem + případně mohl i něco uložit ke kopírovaným datům - klidně k mp3. Takto unikl pozornosti běžného uživatele, kterému se skryté soubory nezobrazují a když ho později identifikoval antivir, tak označoval jako závadné i ty mp3, ale z nich to nakažení primárně být nemohlo.Takže jak už jsem psal - vir může svá data nahrát klidně do mp3, jpeg nebo třeba txt, ale nemůže se pomocí jich šířit ani spouštět. Může je využívat jenom jako datové kontejnery.

Tak vzhledem k tomu, že .mp3 má i metadata, která se někde mají zobrazit, tak pokud je ve zobrazujícím programu chyba, dá se provést code injection

jo to si pamatuju! :) kdo spustil jednu takovou nakaženou MP3, tak to začalo "asimilovat" všechny další MP3 v dostupných složkách... to bude ale už tak 5 nebo více let. Tenkrát to bylo docela "haló".. se divím, že si na to nekteří nepamatují.

že by něco z rodiny WMA/TrojanDownloader.GetCodec ??

Už po přečtení nadpisu jsem tady vůbec šel s tím, že to bude buď zranitelnost jednoho konkrétního přehrávače, a nebo tam bude nějaký hodně zásadní háček, který z nadpisu dělá kachnu. Bez jakéhokoliv překvapení B je správně.

No, zrovna VLC opravovalo nedavno niekolko heap buffer overflow chyb v spracovani SRT. Staci sa pozriet do historie v gite, kde tie opravy zodpovedaju popisu v original blogposte od checkpointu (VLC - ParseJSS Null Skip Subtitle Remote Code Execution). Tie priciny RCE budu asi rozne pre rozne prehravace, takze to zas az taka kravina uplne nebude :)

Všechno nasvědčuje tomu, že u VLC se skutečně nejspíš jednalo o heap buffer overflow, v Kodi pak neošetřené procházení zip archivů a v případě PopcornTime jde zase o XSS útok, jelikož renderuje titulky v HTML.

I když napíšeš KRAVINA a dáš tam třeba 5 vykřičníků, tak se pleteš. Jistě že se kód nespustí sám od sebe - spustí se ale v konkrétím přehrávači, který obsahuje chybu.

Nestačí. Měl bys hlavně udržovat aktuální veškerý software co používáš. Všechny přehrávače to už mají opravené :)

Vážně je takový problém jít na domovskou stránku přehravače a stáhnout aktualizaci? Jestli ti záplata nestojí ani za tu minutu času, měl bys něco chytout, aby ses poučil.

Koukám na to líp, a je to VLC... omlouvám se, moje chyba.
VLC se ale taky minimálně v tom videu od těch specialistů nevyskytuje. Týká se jej to tedy?

kazdopadne po dlhom case vyslo nove vlc, bugfixy, takze urcite aktualizovat

Může aspoň někdo z toho stáda mínusovačů napsat co je v tomto dolfovo komentu špatně?
Nebo opravdu jen tupě reagujete na nick diskutujícího?
"PSPad (lepší)" — naprostá pravda, požívám už roky.

Samozrejme, ze i v textivem titulku byt muze...I nad tim obCejnym textakem probiha parsovani textu atd.... a v pripade neosetreneho nejakeho "corner" pripadu, ve spojeni s nejakym hezkym budfer under/over/flow..... neni vubec vyloucene aby se povedlo spustit i nejaky binarni srot frknuty do titulku.Byly tu i divocejsi chBy, nwz by byla takovato

Divoky je hlavne tvuj spelling. :D

A jak myslíte, že jsou napadány třeba webové prohlížeče? Kouzelnou hůlkou na dálku?

Chápu, na Linuxu je to těžké. Ale zase si můžeš každej večer překompilovat jádro, to mi na Windows nemůžeme.