Lib libavcodec có thể dễ bị tấn công


38

Kể từ tuần trước, tôi nhận được thông báo sau cho hầu hết mọi trang tôi mở trong Firefox:

libavcodev có thể dễ bị tổn thương hoặc không được hỗ trợ và nên được cập nhật để phát video

Rõ ràng, đây chỉ là một cảnh báo, vì tôi có thể phát video bình thường.

Tôi đã thử

sudo apt-get install libavcodec

nhưng gói này không tồn tại.

Tôi cũng đã làm apt-get updateapt-get upgrade, nhưng tin nhắn vẫn tồn tại.

Cuối cùng, khi tôi sử dụng apt-get autoremove, nó không trả lại bất kỳ gói nào.

Tôi googled cho tin nhắn, nhưng không tìm thấy bất cứ điều gì tương tự.

Tôi nên làm gì để loại bỏ tin nhắn này? Tôi có nên cảnh giác cho bất cứ điều gì?

Một số thông tin:

  • Ubuntu 14.04
  • Phiên bản dành cho nhà phát triển Firefox 51.0a2

1
Nếu bạn muốn tìm hiểu một chương trình / thành phần đến từ đâu, bạn có thể cài đặt apt-file. Bạn phải định kỳ cập nhật nó với apt-file update. Sau đó, bạn sử dụng apt-file find program-nameđể tìm ra gói nào trong đó. Đây là một công cụ tuyệt vời, nhưng nó sẽ chỉ tìm kiếm trong kho bạn đã cài đặt. Vì vậy, nếu những gì bạn cần là trong một PPA mà bạn chưa cài đặt, nó sẽ không tìm thấy nó.
Joe

Câu trả lời:


36

Có một vấn đề bảo mật được mô tả ở đây :

Sự miêu tả

Hàm ff_dwt_decode trong libavcodec / jpeg2000dwt.c trong FFmpeg trước 2.8.4 không xác thực số lượng mức phân tách trước khi tiến hành giải mã Biến đổi Wavelet Biến đổi, cho phép kẻ tấn công từ xa gây ra sự từ chối dịch vụ (ngoài phạm vi) hoặc có thể có tác động khác không xác định thông qua dữ liệu JPEG 2000 được chế tạo .

những libavcó thể được cài đặt thông qua:

sudo apt-get install libav-tools

Các libavphiên bản 's được sử dụng bởi Ubuntu 14.04 là 9.xvà có thể được nâng cấp lên 11.xnhư sau:

sudo add-apt-repository ppa:heyarje/libav-11
sudo apt-get update
sudo apt-get install libav-tools

Chạy:

sudo apt-get update && sudo apt-get upgrade
sudo apt-get dist-upgrade 

để nâng cấp các gói.


5
sudo apt-get upgrade(thay vì nâng cấp dist) là đủ.
mpy

3
Là nâng cấp dist thực sự cần thiết?
dwbartz

1
Là thêm một kho apt mới một cách mù quáng thực sự an toàn hơn so với việc tiếp tục sử dụng một phiên bản lỗi thời của libav?
shadi

@shadi, vâng. Bạn có thể tra cứu ai là launchpad.net/~heyarje Bạn cũng có thể nhận ra anh ta rất có thể không phải sau khi lừa đảo người dùng ub Ubuntu trung bình. Không đảm bảo ofc. Cho phép sử dụng phiên bản lỗi thời là một sự đảm bảo, rằng bất kỳ clickbait nào cũng có thể dẫn đến một mã tùy ý được thực thi trên máy của bạn. Bây giờ có lẽ nó được tự động hóa. Một lần bấm sai và tất cả mật khẩu của bạn đã biến mất.
Ufos

16

Trong trường hợp bạn không thể nâng cấp libav, bạn có thể buộc firefox sử dụng phiên bản cũ bằng cách thay đổi cài đặt này (-> about: config):

media.libavcodec.allow-obsolete

Cài đặt mặc định là sai , nhưng bạn có thể thay đổi thành đúng .


2
Cảm ơn. Đây là một công việc tuyệt vời (biết FF bây giờ không an toàn hơn) trong khi tôi chờ đợi bản sửa lỗi thực sự từ ubfox / mint. Ngoài ra, tôi đã phải khởi động lại Firefox sau khi đặt mục cấu hình này thành false.
Neil Wightman

7

Câu trả lời GAD3R hoạt động nếu bạn ổn khi cài đặt một repo khác và ReneF là nếu bạn ổn với lỗ hổng bảo mật.

Nếu, giống như tôi, bạn không quan tâm nếu một số video không phát và bạn chỉ muốn tin nhắn chết tiệt đó biến mất - mà không vô hiệu hóa libavcodec (vì vô hiệu hóa thủ công có nghĩa là tôi phải bật lại thủ công sau khi sửa lỗi xuất hiện ) - sau đó bạn nên đi đến about:configvà tìm kiếm:

media.decoder-doctor.notifications-allowed

Trong trường giá trị, bạn có thể thấy danh sách các giá trị được phân tách bằng dấu phẩy; một trong những bạn muốn loại bỏ là MediaUnsupportedLibavcodec. Ví dụ: cài đặt của tôi là:

MediaWMFNeeded,MediaWidevineNoWMFNoSilverlight,MediaUnsupportedLibavcodec

Và tôi đã đổi nó thành:

MediaWMFNeeded,MediaWidevineNoWMFNoSilverlight

Viola! Không còn thông báo gây phiền nhiễu và các video yêu cầu codec sẽ không hoạt động. Tuy nhiên, không có vấn đề bảo mật và một khi repo chính thức sửa lỗi, các video sẽ bắt đầu hoạt động trở lại mà không cần nỗ lực thêm về phía bạn.


2

libavcodec đã được cập nhật trong Ubuntu 14.04 .

Một bản cập nhật cho libav-tools, libavcodec-Extra và libavcodec-Extra-54 trong Ubuntu 14.04 đã khắc phục vấn đề này. Các libavcodec may be vulnerable or is not supported, and should be updated to play videothông báo không còn xuất hiện sau khi cập nhật hệ thống với Updater Software.


-1

Mọi người đang làm điều này khó hơn mức cần thiết - và trong một số trường hợp có thể không hoạt động (trường hợp của tôi), hoặc có thể chấp nhận để tiếp tục với rủi ro bảo mật thực tế (thay đổi mọi thứ xung quanh trong firefox)

Chỉ cần đi vào trung tâm phần mềm, đợi cho nó tải, nhập 'bị hạn chế' vào tính năng tìm kiếm và cài đặt gói bổ sung bị hạn chế cho bản phân phối cụ thể của bạn.

Làm xong. Ngay cả khi bạn đã bật các tính năng bổ sung bị hạn chế trong các bản cập nhật, điều đó dường như không áp dụng cho codec video vì một số lý do. Điều này đã giải quyết vấn đề của tôi ngay cả sau khi nhận được 'codec không thể được cài đặt do các gói được giữ lại bị hỏng' - hoặc một số thông báo gần đúng như vậy.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.