Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Bij het verwerken van asf-streams in VLC kan een bug optreden, waardoor kwaadwillenden mogelijk eigen code kunnen draaien op het systeem van een gebruiker. Een oplossing is nog niet voorhanden, maar zou zo snel mogelijk moeten verschijnen.

VideoLAN / VLC Media Player logoBeveiligingsonderzoeker Debasish Mandal ontdekte dat de asf-parser van de populaire VLC-mediaspeler een potentieel beveiligingsprobleem bevat, zo bevestigen de ontwikkelaars van het project. Asf is een bestandsformaat van Microsoft waarmee audio- en videostreams kunnen worden gestart.

Een 'speciaal geprepareerd' asf-bestand kan in de parser een buffer overflow veroorzaken. Een buffer overflow zorgt ervoor dat meer data naar het geheugen geschreven wordt dan waarvoor ruimte is gereserveerd, waardoor een aanvaller bijvoorbeeld gegevens naar uitvoerbaar geheugen kan schrijven.

Of dat in dit geval ook kan, is nog niet duidelijk. Volgens het VLC-team zou dat in 'sommige gevallen' mogelijk kunnen zijn, maar is dat niet bevestigd. Daarnaast stelt VLC dat gebruikers expliciet een asf-bestand moeten openen om kwetsbaar te zijn, maar tegelijkertijd raadt het bedrijf gebruikers aan om geen 'onvertrouwde sites' te bezoeken, niet zomaar asf-bestanden te openen en de VLC-browser-plugin uit te schakelen. Een alternatief is om de asf-plugin uit te schakelen, door deze te verwijderen uit de plugin-folder van VLC.

Reacties (41)

Reactiefilter:-141040+130+27+33
Moderatie-faq Wijzig weergave
De nieuwste versie van VLC Media Player zuigt. Het heeft een zeer lelijke gebruikersinterface, en als ik een video bekijk op volledig scherm, kan ik dat balkje met de buffer niet altijd verbergen. Als ik hem dan helemaal naar rechtsonder sleep, zodat alleen nog een klein puntje te zien is, springt hij gewoon terug naar de vorige positie.

Ik blijf mooi bij VLC Media Player 1.1.9, de beste versie van VLC Media Player tot nu toe.
Media Player Classic > VLC
Dat uitpakken van .rar bestanden doet VLC al een jaar of 7 a 10 !
VLC kan zelfs kapotte DVD's afspelen. Echt onvoorstelbaar dat programma. Toch heb ik een foutieve MKV denk ik, houdt bij mij op na 1:57 :(
Eigenlijk was Advanced Systems Format al defective-by-design omdat je uitvoerbare script commando's in kan stoppen.
Dan is het web ook "defective by design", want deze pagina alleen al staat vol met script commando's.
grsec: denied resource overstep by requesting 69632 for RLIMIT_MEMLOCK against limit 65536 for /usr/bin/vlc[vlc:8126]
Wat heeft FAT met Windows te maken?

(edit: bedoel dat FAT gebruikt wordt door OS X, Windows, Linux en allerlei willekeurige apparaten als camera's, telefoons en mp3 spelers)

[Reactie gewijzigd door Dreamvoid op 31 januari 2013 17:08]

Hij pakte het in om te verplaatsen dus het was wel degelijk in het belang van grote, anders had ie het ook niet in hoeven te pakken (wat dus meer tijd kost dan niet inpakken)...
De winst zit hem niet zozeer in grootte, maar eerder in de tijd die het scheelt om het bestand niet uit te pakken.
Dat kunnen zo veel spelers, zelfs om mijn telefoontje kan VLC en BS Player dat zonder problemen...

Opzich wel tof alleen is de compressie van videobestanden al dusdanig goed dat rarren vaak niet de moeite is, ben dan ook benieuwd wat jouw winst was (in MB/GB) om het in te pakken...

[Reactie gewijzigd door watercoolertje op 31 januari 2013 12:15]

Dit komt omdat docx-bestanden eigenlijk een hoop xml-bestanden en losse media in een gecomprimeerde map zijn. (Probeer maar eens de .docx te veranderen in .zip) VLC zoekt in gecomprimeerde mappen alle bestanden af naar media en speelt die dan af. Daarom zie je alleen de afbeeldingen, VLC herkent waarschijnlijk alleen dat het een zip-bestand is, en weet niet dat het (ook) een word-bestand is.
Als we nou de <object>, <script>, <embedded>, <img>, <audio>, <video>-tags niet hadden. Dan was het web een stuk veiliger, maar zo saai.

Geef toe, hoevaak zijn er wel niet bugs/exploits in Javascript-engines van alle browsers voorbij gekomen? Het loont bij voorbaat al om standaard AdBlock+ en NoScript te gebruiken om het browsen wat veiliger te maken.
Ik zal de plugin's van VLC ff checken. Komt die plugin automatisch mee bij installatie als je de auto-associate hebt gebruikt?
Het gaat om de plugin libasf_plugin.*
the ASF demuxer (libasf_plugin.*) can be removed manually from the VLC plugin installation directory. This will prevent ASF movie playback.

Het gaat om het container-formaat zo te zien.
En voor welke platformen geld het?
Wat doe je dan als je mediaplayer moeite heeft met die missende data/frames ? Mediaplayers kunnen dan danig in de war raken, zozeer dat de film niet meer goed afspeelbaar is.

Rar-bestanden zijn dan ook reuzehandig icm par files. Zo krijg je altijd een prefect afspeelbare film/iso whatever.

Wel zou het prettig zijn als de inpakker de compressie op store zet; die comprimeert nml nul, maar deelt de film slechts op in rar-files. De winst is nml vrijwel nihil en de snelheden van de internetters hoger dan vroeger. Uitpakken van stored rar files gaat vele malen sneller, inpakken trouwens ook.
Ik zal de plugin's van VLC ff checken. Komt die plugin automatisch mee bij installatie als je de auto-associate hebt gebruikt?

[Reactie gewijzigd door BUR op 31 januari 2013 16:33]

Vet, maar dan krijg ik alleen afbeeldingen te zien. Of krijgen jullie ook tekst en tabellen in VLC media player?
Hmm, dat is natuurlijk niet handig. Persoonlijk ben ik niet zo'n fan van VLC; ik geef toch de voorkeur aan Media Player Classic - Home Cinema (x64). Hier kan ik namelijk instellen dat AAC apart moet worden gedownmixed naar stereo, terwijl de overige formaten met rust worden gelaten. Mijn versterker ondersteund deze AAC-codec namelijk niet.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Microsoft Windows 10 Pro EN

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True