https://opennet.dev/openforum/vsluhforumID3/100404.html В открытой (http://www.opennet.ru/opennews/art.shtml?num=38662) компанией Cisco библиотеке OpenH264 (https://github.com/cisco/openh264), предоставляющей средства для кодирования и декодирования потоков H.264, выявлена уязвимость (http://tools.cisco.com/security/center/viewAlert.x?alertId=36500), которая может привести к выполнению кода, при обработке специально оформленных данных в приложениях, использующих OpenH264. <br><br><br>Одним из наиболее известных продуктов, использующих OpenH264 для обеспечения поддержки видеокодека H.264, является web-браузер Firefox. Поддержка OpenH264 была добавлена начиная с выпуска Firefox 33 (http://www.opennet.ru/opennews/art.shtml?num=40824). По сообщению (https://bugzilla.mozilla.org/show_bug.cgi?id=1105688#c1) разработчиков Mozilla, Firefox не подвержен проблеме, так как несмотря на то, что информация об уязвимости анонсирована только сейчас, фактически исправления уязвимости были внесены (https://github.com/cisco/openh264/pull/1088/files) без лишней огласки в кодовую базу ещё в https://opennet.dev/openforum/vsluhforumID3/100404.html#39 Mon, 08 Dec 2014 18:20:14 GMT &gt;&gt; Уже ж несколько лет назад это обсасывали на форумах.<br>&gt; Ну вон в вебе используют пыхи, питоны и прочие. В результате то <br>&gt; иньекции чего попало, то загрузка абы каких файлов, то еще какая-нибудь <br>&gt; хрень. И в результате теперь системы в основном ломают через дырявую <br>&gt; вебню. Си теперь конечно стал менее виноват, а вот взломов меньше <br>&gt; не стало. Даже больше. Да что там, даже целые червяки появились, <br>&gt; долбящие вебню на автомате. Не багом - так глупым паролем админа. <br><br>Таки я вас уверяю - в вебе образца 97-98 года (когда еще была масса cgi, писаных на C/C++) сплошь и рядом в норме вещей были stack overflow. Пыха тогда просто не было, да, перловка тоже давала прикурить (салют Леше Павлову, если кто помнит такого).<br> https://opennet.dev/openforum/vsluhforumID3/100404.html#38 Tue, 02 Dec 2014 11:54:48 GMT Ответ такой что нет, это было исключительно умозрительное предположение анонима, и совершенно неверное. В JVM gc-шка является настраиваемой, т.е. ты можешь указать её сам при старте jvm. Версия которая не делает "stop the world" возникла уже очень давно, и вроде по дефолту и запускается в JVM тоже уже давно. Т.е. gc действительно идёт в параллельном потоке.<br><br>При всём при этом, я вообще хотел лишь обратить внимание на безопасность c/cpp.<br>По факту писать именно кодеки я ни за что на JVM не рекомендую. Будет гигантское потребление памяти и медленная скорость работы (хоть и "плавная", без пауз). Касательно рекоммендаций, мне кажется кодеки надо писать на rust-lang. Или, если этот язык кажется недостаточно стабильным, то по-старинке на c/cpp.<br> https://opennet.dev/openforum/vsluhforumID3/100404.html#37 Tue, 02 Dec 2014 06:36:28 GMT &gt; икающий в моменты когда GC приспичило собрать мусор<br><br>Я не интересовался именно джавой, но мне несколько удивительно слышать, что джава так и не научилась гонять gc в отдельном потоке. Уж кому-кому, а жабе с её популярностью и использованием во всех щелях это просто необходимо. В связи с этим вопрос: это вы чисто умозрительно предполагаете икание у java-кодека, или на своём опыте сталкивались? Расскажете как воспроизвести?<br> https://opennet.dev/openforum/vsluhforumID3/100404.html#36 Tue, 02 Dec 2014 04:57:10 GMT &gt; Плюсы хороши большой кодовой базой, массой народа на них работающих, множеством отработанных <br>&gt; техник и рецептов.<br><br>И это основной минус. Масса народа, которая в общем-то не разбирается в языке, и которая лезет давать свои "дельные" советы. А разбираться в языке сложно из-за переусложнённых правил вычисления. Вон в институте Макса Планка ребята до сих пор находят ошибки в стандарте, так что разбирается ли хоть кто-то в этом языке - вопрос тот ещё.<br><br>На debian-russian я уже неоднократно поднимал треды о проблемах языков С и Cxx. Что примечательно, с пониманием дела отвечали всегда одни и те же люди: в основном программисты на Lisp и Haskell.<br><br>&gt; Сейчас порог входа я бы оценил как равный любому "детский" паскаль/бейсик.<br><br>Ох. Надо мне каяться: я долго пытался, ловил ошибки присваивания определённых мною объектов, ловил презабавные глюки при использовании cout - и в конце концов так и не вошёл.<br><br>Что вообще такое этот "порог входа"? Я вот пишу программу, вроде пишу так, как написано в примерах - а код пос https://opennet.dev/openforum/vsluhforumID3/100404.html#35 Tue, 02 Dec 2014 03:11:25 GMT &gt; Уже ж несколько лет назад это обсасывали на форумах.<br><br>Ну вон в вебе используют пыхи, питоны и прочие. В результате то иньекции чего попало, то загрузка абы каких файлов, то еще какая-нибудь хрень. И в результате теперь системы в основном ломают через дырявую вебню. Си теперь конечно стал менее виноват, а вот взломов меньше не стало. Даже больше. Да что там, даже целые червяки появились, долбящие вебню на автомате. Не багом - так глупым паролем админа.<br> https://opennet.dev/openforum/vsluhforumID3/100404.html#34 Tue, 02 Dec 2014 03:08:57 GMT &gt; Вы вот прям точно всё равно уверены что CPP безопасен, <br><br>Чего бы это вдруг? Си++ позволяет себе прострелить пятки при желании. Единственная проблема - языки которые делают добавочные проверки на видеокодеке провалятся по производительности. Раза так в три. И юзеры, особенно с слабыми компьютерами, обложат такой кодек матом. Особенно при попытках посмотреть что-нибудь в разрешении поболее почтовой марки.<br><br>&gt; (При всей отстoйности JVM по ооочень широкому спектру других вещей.)<br><br>Вы, конечно, извините, но кому и зачем надо кодек, тормозящий в 3 раза сильнее и икающий в моменты когда GC приспичило собрать мусор? Это сойдет как PoC, показать "ява не тормозит" всему миру. Но на практике этим будет пользоваться разве что сам автор, которому свое не пахнет.<br><br><br> https://opennet.dev/openforum/vsluhforumID3/100404.html#33 Tue, 02 Dec 2014 03:04:54 GMT &gt; В общем, не видел я на практике, чтобы плюс'ы обеспечивали какой-то там баланс.<br><br>Пока вы не видите - игроделы на нем здоровенные проекты наворачивают, например. И да, их скорость и предсказуемость поведения - интересует. По этим же причинам на них пишут требовательные к скорости программы, которые на сях уже стало слишком разлаписто писать.<br> https://opennet.dev/openforum/vsluhforumID3/100404.html#31 Mon, 01 Dec 2014 19:10:27 GMT Можно подумать, в других виртуалках нет уязвимостей<br> https://opennet.dev/openforum/vsluhforumID3/100404.html#30 Mon, 01 Dec 2014 18:26:23 GMT ну написано же, что уязвимости в лисе нет и не было, проблемы?<br>