OpenForum RSS: Уязвимость в OpenH264, позволяющая выполнить код при декодировании видео https://www.opennet.ru/openforum/vsluhforumID3/136102.html В проекте OpenH264, развивающем открытую реализацию видеокодека H.264, выявлена уязвимость (CVE-2025-27091), потенциально способная привести к выполнению кода при декодировании специально оформленного видео. Проблема проявляется в режимах SVC (Scalable Video Coding) и AVC (Advanced Video Coding), и вызвана состоянием гонки, приводящем к записи данных за пределы выделенного буфера. Уязвимость устранена в выпуске OpenH264 2.6.0. Проследить за появлением обновлений в дистрибутивах можно на следующих страницах: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62775<br> Уязвимость в OpenH264, позволяющая выполнить код при декодир... (User) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#107 Tue, 25 Feb 2025 18:21:53 GMT &gt; пока только постирали. И то "бережно", при 40 градусах. Кот жив, но <br>&gt; изрядно ох...ел.<br>&gt; Так что камеры сперва будут в стиралках, но это неточно. Возможно для <br>&gt; начала запретят стирку при температурах, опасных для котов, и небезопастные обороты <br>&gt; отжима. Так дешевле.<br><br>В смысле - сахар в кофе куппертиновцы НАМЕРЕННО кладут, чтобы макбуки портить?! А могли бы - БЕЗОПАСНУЮ дистиллированную воду продавать? От же ж гады-то, а?!<br> Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#106 Tue, 25 Feb 2025 14:41:30 GMT А как же все стриминговые сервисы с h265? В том числе эпловский (у которого качество картинки долгое время было лучше всего)? Серверам так-то вообще всё равно, что отдавать. Количество контента в hevc давно обошло контент в avc, если откинуть Гугл.<br> Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#105 Tue, 25 Feb 2025 14:17:17 GMT &gt; libvpx - название свободной реализации VP9, господин теоретик, пользующийся VP9.<br><br>Спасибо, Капитан Очевидность!<br><br>&gt; Мы - пользователи сайта, посвящённого опенсорсу. Например, проприетарная реализация VP9 <br>&gt; "Eve-VP9" была бы здесь оффтопом.<br><br>Ну так тут ее и нет. В свое время была впрочем такая штука как SVT-VP9 но на него довольно быстро забили в пользу SVT-AV1 как явно более перспективного.<br><br>&gt; Если хочется ходить по кругу, то я тоже повторю: VP9 и H.265 <br>&gt; в один год вышли. Между H.265 и AV1 - целая эпоха<br><br>Да никакой там эпохи, спеки разрабатывались - примерно в одно и то же время, на момент окончательной ратификации H.265 и тем более появления каких-то реализаций, спеки AV1 быди уже почти готовы. К тому же он в отличие от поделий исы шел с референсной реализацией сразу неплохо раскрывающей возможности формата на тему битрейт-качество.<br><br>А нечто от ISO - сильно меньше coding tools и эффективных технологий, при отсутствии нормального референсного кодека - это просто булшит бинго какое-то.<br> <br>&gt; (ка Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#104 Tue, 25 Feb 2025 14:08:40 GMT &gt; К тому же, не стоит забывать про Эпл. Софт для него поддерживает <br>&gt; h265 в вебе из коробки. Сговорившиеся не поддерживать корпорации сделали это <br>&gt; не из заботы о пользователях.<br><br>А толку то? Сервера которые будут грузить им это - ну, их нет. И не будет.<br> Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#103 Tue, 25 Feb 2025 14:07:57 GMT &gt; По числу пользователей точно. <br><br>Столь громкие заявления нехило бы пруфануть.<br><br>&gt; По количеству контента мне сложно оценить, но это большинство крупных сайтов наверно.<br><br>Контент на китайском это очень ценно ... для китайцев. А я - на инглише мувик посмотреть я могу. На китайском - это вы сами смотите, имхо.<br> Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#102 Tue, 25 Feb 2025 13:52:58 GMT &gt; Не надо так волноваться из-за нового знания, что производитель твоего железа заплатил <br>&gt; за отчисления.<br><br>Далеко не всего. И мне ЭТО ... с примитивным битстримом, никакущими coding tools, отвратным битрейт/качество на интересных мне битрейтах, без нормальных реализаций - НЕ ТРЕБУЕТСЯ. Хоть как. SVT-AV1 из соседней новости - рвет его на британский флаг в интересных мне номинациях. И учитывая headroom в битстрими - AV1 будет жить явно дольше. Там есть что улучшать не вылезая за рамки формата, в отличие от этого позора от исы.<br><br>H.265 - проходной, мертворожденный формат. Без интересных технических деталей или хороших реализаций в софте. Он настолько EPIC FAIL что ISO продолжил строгать свои WTFVC с аццкой скоростью, и он deprecated не успев толком войти в использование. Так что кто кодировал в него - может слать смс с текстом не лох уже, имхо.<br><br>&gt;&gt; а блюрея у меня вообще не было отродясь, за бессмысленностью.<br>&gt; Ну вот, от волнения не понял, что речь шла об издании фильма <br>&gt; компанией, тебя же не спрашивал Уязвимость в OpenH264, позволяющая выполнить код при декодир... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#100 Tue, 25 Feb 2025 12:11:57 GMT пока только постирали. И то "бережно", при 40 градусах. Кот жив, но изрядно ох...ел.<br><br>Так что камеры сперва будут в стиралках, но это неточно. Возможно для начала запретят стирку при температурах, опасных для котов, и небезопастные обороты отжима. Так дешевле.<br><br> Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#99 Mon, 24 Feb 2025 19:40:22 GMT &gt;&gt;&gt; Нормальных реализаций которые хотя-бы VP9 на пятки сядут - не густо.<br>&gt;&gt; Для нас существуют, в общем-то только x265 и libvpx.<br>&gt; Я не знаю кто "вы" такие - поэтому юзаю сабж и мне нормуль.<br><br>libvpx - название свободной реализации VP9, господин теоретик, пользующийся VP9. <br><br>Мы - пользователи сайта, посвящённого опенсорсу. Например, проприетарная реализация VP9 "Eve-VP9" была бы здесь оффтопом.<br><br>&gt; Разрабатываться AV1 начал довольно давно. Ибо готовь сани летом.<br><br>Если хочется ходить по кругу, то я тоже повторю: VP9 и H.265 в один год вышли. Между H.265 и AV1 - целая эпоха (как между VP9 и AV1). Серьёзные кодеки начинают разрабатывать задолго до выхода. Помянуть продвинутый битстрим - дело святое (хотя бы раз в год).<br><br>&gt; Гуглу пофиг на репутацию, они себе трафик экономят. Почему бы и мне так же не делать с трафиком и местом - хз :)<br><br>Это и правда хороший кодек, чего говорить. Но и божий дар с яичницей опасно путать, здесь часто стало встречаться фанатичное "опенсорс == гугл", ChromeOS лучшим линуксом ст Уязвимость в OpenH264, позволяющая выполнить код при декодир... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/136102.html#98 Mon, 24 Feb 2025 19:25:10 GMT К тому же, не стоит забывать про Эпл. Софт для него поддерживает h265 в вебе из коробки. Сговорившиеся не поддерживать корпорации сделали это не из заботы о пользователях.<br>