Des failles dans VLC ? « Du vent » pour Jean-Baptiste Kempf

Des failles dans VLC ? « Du vent » pour Jean-Baptiste Kempf

Du vent qui passe par les brèches ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

22/01/2015 2 minutes
181

Des failles dans VLC ? « Du vent » pour Jean-Baptiste Kempf

Depuis quelques jours, on peut lire çà et là que des failles de sécurité seraient présentes dans le lecteur multimédia VLC. Via des fichiers spécialement conçus, il serait possible d'exécuter du code de manière arbitraire. Néanmoins, les choses sont loin d'être aussi simples. Explications.

Vendredi 16 janvier, Veysel Hataş publiait un billet sur Seclists.org où il annonçait que VLC 2.1.5 contiendrait une importante faille de sécurité. L'exposé des faits était particulièrement inquiétant puisqu'il expliquait que, sur Windows XP SP3 et via un fichier .FLV ou .M2V piégé, il serait possible de « corrompre la mémoire et de potentiellement exécuter du code arbitraire ».

Deux tickets (ici et ) ont été ouverts sur le bug tracker de VideoLAN... avant d'être rapidement fermés par Jean-Baptiste Kempf, le président de l'association, pour une raison simple : « ce n'est PAS un bug de VLC, mais de la bibliothèque Libavcodec. Assigner un CVE [Common Vulnerabilities and Exposures] à VLC est tout simplement faux » tonne-t-il. Il ajoute au passage que les fichiers binaires de VLC en version 2.2.0-RC2 corrigent déjà le problème, sans pour autant préciser comment. Pour rappel, la version stable est actuellement en 2.1.5.

Contacté par nos soins, Jean-Baptiste Kempf revient sur cette histoire :  « C'est toujours la même chose avec ces failles de sécurité : il y a un mec qui dit "j'ai une faille de sécurité", et tout le monde la reporte, sans jamais vérifier... ». De son côté, il a évidemment essayé de reproduire ce bug, sans succès apparemment. Même son de cloche chez Thomas Nigro, qui se présente comme développeur de VLC pour Windows.

Au final, il semblerait donc que cette histoire fasse beaucoup de bruit pour pas grand-chose. « C'est du vent » lâchera même Jean-Baptiste Kempf. Jusqu'à présent personne n'a été en effet en mesure de reproduire le bug annoncé par Veysel Hataş. Reste maintenant à voir si ce dernier va apporter de nouvelles informations. Comme toujours, n'hésitez pas à nous faire part de vos retours via les commentaires.

181

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (181)


Hâte de tester cette 2.2 en tout cas. <img data-src=" />


Ce n’est pas un bug VLC mais la version 2.2 corrige le problème ?&nbsp;<img data-src=" />


Je connaissais le c cédille, mais pas le s cédille, merci <img data-src=" />


Soit ils ont corrigé et recompilé la lib&nbsp;

Soit ils utilisent une nouvelle version de la lib qui corrige le problème&nbsp;


Le titre… <img data-src=" />









yunyun a écrit :



Ce n’est pas un bug VLC mais la version 2.2 corrige le problème ? <img data-src=" />





Oui. VLC corrige malgré tout le problème lié à la bibliothèque incriminée qui n’est pas du ressort du premier.



Le turc possède cette lettre qui est l’équivalent de notre “ch”. En tchèque si mes souvenirs sont bons, il y a des c et s avec un accent circonflexe inversé en bas et attaché à la lettre.


Lapin tout compris. En Gros, VLC utilise une bibliothèque tiers qui possède une vulnérabilité ?

JB, ou quelqu’un d’autre, peux-tu, nous expliquer avec un peu plus en détail. Cette bibliothèque, elle vient d’où ?


qui utilise du .M2V? <img data-src=" />








tazvld a écrit :



Lapin tout compris. En Gros, VLC utilise une bibliothèque tiers qui possède une vulnérabilité ?

JB, ou quelqu’un d’autre, peux-tu, nous expliquer avec un peu plus en détail. Cette bibliothèque, elle vient d’où ?







Si je ne me trompe pas VLC se base sur les codecs de ffmpeg (libavcodec) pour lire les fichiers vidéos. La faille se trouverait dans libavcodec, et non dans VLC en lui-même. En toute logique il faudrait donc rapporter le bug aux équipes de ffmpeg.



J’espère ne pas dire trop de bêtises, JB ou un autre vrai développeur me corrigera si je me trompe <img data-src=" />



c’est ce que je comprends aussi


Tellement du vent que je n’en avais pas entendu parler… pauvre NXI <img data-src=" />


Moi j’y crois à cette faille. <img data-src=" />


Mais en fait, même pas, y a rien du tout…



Le mec se plaint qu’il y a un bug, je vérifie et je vois que ça marche sous Linux en 2.1.5 et en 2.2.0.

Je vois que ça marche sous Windows en 2.2.0-rc2.



Donc, je me dis, c’est un bug libavcodec, qui a été fixé, depuis la 2.1.5.



Mais en fait, ensuite, je regarde en 2.1.5, et les 2 fichiers ne font même pas crasher VLC 2.1.5 sous Windows… Donc à partir de là, c’est juste du vent…








jb a écrit :



Mais en fait, même pas, y a rien du tout…



Le mec se plaint qu’il y a un bug, je vérifie et je vois que ça marche sous Linux en 2.1.5 et en 2.2.0.

Je vois que ça marche sous Windows en 2.2.0-rc2.



Donc, je me dis, c’est un bug libavcodec, qui a été fixé, depuis la 2.1.5.



Mais en fait, ensuite, je regarde en 2.1.5, et les 2 fichiers ne font même pas crasher VLC 2.1.5 sous Windows… Donc à partir de là, c’est juste du vent…





On sait précisément les symptômes que les fichiers fabriqués sont susceptibles de faire ? On peut ptet t’aider pour reproduire le bug ^^



Enfin les gens qui ont encore XP :x



Bah il suffit de prendre les 2 fichiers et de tester soi-même…


En tchèque il y a le č qui se prononce “tch” et que l’on retrouve par exemple dans Jan Kulaček, qui est le citoyen tchèque le plus connu en France <img data-src=" />








jb a écrit :



Bah il suffit de prendre les 2 fichiers et de tester soi-même…





C’est quoi le mdp des archives ?



Qwertz ;)


bon bah jreproduis pas :x les vidéos se lisent bien mais je suis pas dans les bonnes conditions donc ça ne compte pas ^^



Enfin poc.flv a qq glitchs mais rien de bien grave.








eliumnick a écrit :



bon bah jreproduis pas :x les vidéos se lisent bien mais je suis pas dans les bonnes conditions donc ça ne compte pas ^^







C’est ce que je dis :)



Ce que je pense c’est que sur la video flv il y a une grosse dimension verticale, au début, et le driver de sa carte graphique est buggué, donc ça crash.



Une fois de plus, c’est dit ‘exploitable’, mais sans montrer d’exploit…



Autant partager ma réaction Facebook.



Y’a pas mal d’erreur là dedans.



Ce n’est pas parce que tu vois rien que y’a rien. L’exploitation en question ne signifie pas crash de l’App ou de l’OS mais écriture dans un espace mémoire d’une autre app/OS ou exécution de code, et ca c’est pas en regardant vlc se lancer que tu le verras s’il y a un problème.



Si y’a une faille dans une des libs qu’utilise VLC, on peut dire sans aucun soucis que VLC a une faille. Ce qui est important c’est ce qu’installe l’utilisateur, pas la mécanique interne. Après le CVE n’est pas pour VLC, mais ça ne change pas pour autant qu’une personne qui installe VLC et qui l’exécute peut rencontrer cette faille.



Mauvaise communication de la part de VLC sur le sujet, il vaut mieux dire “en effet, ca vient d’une librairie qu’on ne contrôle pas, on va les aider” que de dire “c’est du vent” alors que c’est pas vraiment le cas.



C’est une grosse erreur de développeur que de penser que l’on est + expert que les autres, surtout sur un domaine bien spécifique comme celui- là, l’expert en question n’est pas un&nbsp;inconnu&nbsp;

&nbsp;Si tu n’arrives pas à le reproduire, tu demandes + d’info, tu passes un coup de fil, tu fais du remote desktop, etc… mais tu n’envoies pas chier comme ça. Ca peut être lié à l’environnement, à un OS, à une version de l’app, etc… plein de choses qui ne permettent pas de le reproduire en local, mais il ne faut surtout pas ignorer comme cela

Mon conseil : Si un expert vous dit qu’il y a prob, travaillez avec, ne vous le foutez pas à dos



My 2 cents


bah tiens, c’est du jamais entendu “mais non il n’y a pas de failles on vous dit”…








rudyhuyn a écrit :



Autant partager ma réaction Facebook.



Y’a pas mal d’erreur là dedans.



Ce n’est pas parce que tu vois rien que y’a rien. L’exploitation en question ne signifie pas crash de l’App ou de l’OS mais écriture dans un espace mémoire d’une autre app/OS ou exécution de code, et ca c’est pas en regardant vlc se lancer que tu le verras s’il y a un problème.



Si y’a une faille dans une des libs qu’utilise VLC, on peut dire sans aucun soucis que VLC a une faille. Ce qui est important c’est ce qu’installe l’utilisateur, pas la mécanique interne. Après le CVE n’est pas pour VLC, mais ça ne change pas pour autant qu’une personne qui installe VLC et qui l’exécute peut rencontrer cette faille.



Mauvaise communication de la part de VLC sur le sujet, il vaut mieux dire “en effet, ca vient d’une librairie qu’on ne contrôle pas, on va les aider” que de dire “c’est du vent” alors que c’est pas vraiment le cas.



C’est une grosse erreur de développeur que de penser que l’on est + expert que les autres, surtout sur un domaine bien spécifique comme celui- là, l’expert en question n’est pas un&nbsp;inconnu&nbsp;

&nbsp;Si tu n’arrives pas à le reproduire, tu demandes + d’info, tu passes un coup de fil, tu fais du remote desktop, etc… mais tu n’envoies pas chier comme ça. Ca peut être lié à l’environnement, à un OS, à une version de l’app, etc… plein de choses qui ne permettent pas de le reproduire en local, mais il ne faut surtout pas ignorer comme cela

Mon conseil : Si un expert vous dit qu’il y a prob, travaillez avec, ne vous le foutez pas à dos



My 2 cents





jb ne semble pas nier l’authenticité de la stack. Il dit que les conditions fournis ne permettent pas la reproduction. De mon point de vue de développeur, tant que tu n’as pas un scénario fiable pour reproduire un bug, celui-ci n’est pas avéré (note bien l’emploi du mot avéré).









rudyhuyn a écrit :



Autant partager ma réaction Facebook.



Y’a pas mal d’erreur là dedans.



Ce n’est pas parce que tu vois rien que y’a rien. L’exploitation en question ne signifie pas crash de l’App ou de l’OS mais écriture dans un espace mémoire d’une autre app/OS ou exécution de code, et ca c’est pas en regardant vlc se lancer que tu le verras s’il y a un problème.



Si y’a une faille dans une des libs qu’utilise VLC, on peut dire sans aucun soucis que VLC a une faille. Ce qui est important c’est ce qu’installe l’utilisateur, pas la mécanique interne. Après le CVE n’est pas pour VLC, mais ça ne change pas pour autant qu’une personne qui installe VLC et qui l’exécute peut rencontrer cette faille.



Mauvaise communication de la part de VLC sur le sujet, il vaut mieux dire “en effet, ca vient d’une librairie qu’on ne contrôle pas, on va les aider” que de dire “c’est du vent” alors que c’est pas vraiment le cas.



C’est une grosse erreur de développeur que de penser que l’on est + expert que les autres, surtout sur un domaine bien spécifique comme celui- là, l’expert en question n’est pas un inconnu 

 Si tu n’arrives pas à le reproduire, tu demandes + d’info, tu passes un coup de fil, tu fais du remote desktop, etc… mais tu n’envoies pas chier comme ça. Ca peut être lié à l’environnement, à un OS, à une version de l’app, etc… plein de choses qui ne permettent pas de le reproduire en local, mais il ne faut surtout pas ignorer comme cela

Mon conseil : Si un expert vous dit qu’il y a prob, travaillez avec, ne vous le foutez pas à dos



My 2 cents





La plupart des “experts” en séc ne sont experts que pour ceux qui pensent que coder est donné à tout le monde.



sauf qu’en général tu contactes le mec pour qu’il te donne + d’info, tu ne sors pas “c’est du vent”








rudyhuyn a écrit :



Mon conseil : Si un expert vous dit qu’il y a prob, travaillez avec, ne vous le foutez pas à dos







Un expert qui ne produit:





  • pas de backtrace reproductible,

  • pas de bug exploitable,

  • pas de crash,

  • pas d’erreurs dans le code,

  • des samples qui ne crashent pas,



    ?



    C’est ce qu’on appelle du vent ou du FUD.



Mais le mec a été contacté 20 fois.



Franchement, avant de l’ouvrir et de faire la morale, renseigne toi.


Sans intérêt, je dégage par moi-même.








jb a écrit :



Un expert qui ne produit:





  • pas de backtrace,

  • pas de bug exploitable,

  • pas de crash,

  • pas d’erreurs dans le code,

  • des samples qui ne crashent pas,



    ?



    C’est ce qu’on appelle du vent ou du FUD.







    (Mode sérieux pour changer)



    Je note tout ça pour ne pas te déranger pour rien si je trouve quelque chose sur VLC un jour.



    Si je note aussi avec la config complète, matérielle et logicielle, sur laquelle j’ai le bug, ça peut aider ?



Écoute, c’est simple, tu prends VLC et tu prends les samples, et tu nous dis si tu reproduis.


Il parle peut-être du titre qui sous entend qu’il n’y a en toute généralité pas de failles dans VLC.

Pas du cas particulier sus-cité.


Ah alors, j’ai rien dit.



Des failles dans VLC, il y en a des milliers. :)








News a écrit :



Windows XP SP3







Le bug il est là. <img data-src=" />



Bah c’est possible que ce soit ses drivers sous XP qui soit problématiques.

Moi, ça ne crash aucune de mes 3 machines sous XP.


Ça reste à prouver aussi <img data-src=" />








rudyhuyn a écrit :



sauf qu’en général tu contactes le mec pour qu’il te donne + d’info, tu ne sors pas “c’est du vent”





Le bug a été ouvert il y a 4 semaines.



Même si ce n’est pas le cas ici, ça montre a quel point avoir une protection supplémentaire comme une sandbox pour toutes les applications est un gros plus … Vivement que je me débarrasse de VLC Win32 au profit de VLC WinRT <img data-src=" /> J’imagine que Win10 apportera des API supplémentaire qui faciliteront le travail d’Hugo, de Thomas et des autres …


HS: Un magazine informatique réputé annonçait la sortie de la 2.2 la semaine du 9 déc 2014. <img data-src=" />



Ca en est où ? <img data-src=" />

Merki <img data-src=" /> <img data-src=" />








gathor a écrit :



Qwertz ;)





<img data-src=" /> C’est pas azerty1234 ?



Sous Windows XP SP3 et VLC 2.1.5, la lecture du fichier de ce ticket fait planter VLC avec le log suivant :



– logger module started –

main: Lancement de vlc avec l’interface par défaut. Utilisez « cvlc » pour démarrer VLC sans interface.

main error: Failed to resize display

main error: Failed to resize display



VLC étant lancé comme ceci :

vlc –file-logging





Est-ce que c’est une confirmation du bug ?



Pour le flv, VLC ne plante pas (dans le log il met pareil que l’autre mais avec la ligne “main error: Failed to resize display” quatre fois).








arno53 a écrit :



Même si ce n’est pas le cas ici, ça montre a quel point avoir une protection supplémentaire comme une sandbox pour toutes les applications est un gros plus … Vivement que je me débarrasse de VLC Win32 au profit de VLC WinRT <img data-src=" /> J’imagine que Win10 apportera des API supplémentaire qui faciliteront le travail d’Hugo, de Thomas et des autres …





La sécurité est plus liée à la preuve qu’à la multiplication des murs-passoires.



Une faille de sécurité n’est pas censée faire crasher quoi que ce soit…








Konrad a écrit :



Si je ne me trompe pas VLC se base sur les codecs de ffmpeg (libavcodec) pour lire les fichiers vidéos. La faille se trouverait dans libavcodec, et non dans VLC en lui-même. En toute logique il faudrait donc rapporter le bug aux équipes de ffmpeg.



J’espère ne pas dire trop de bêtises, JB ou un autre vrai développeur me corrigera si je me trompe <img data-src=" />







Il me semble que Ffmpeg a eu un fork plus récent d’ailleurs.



Adresse Web :

https://libav.org/avconv.html



Après il utilise peut-être les mêmes bibliothèques, je ne sais pas.









unCaillou a écrit :



HS: Un magazine informatique réputé annonçait la sortie de la 2.2 la semaine du 9 déc 2014. <img data-src=" />



Ca en est où ? <img data-src=" />

Merki <img data-src=" /> <img data-src=" />







DTC mon cher … DTC <img data-src=" />









FRANCKYIV a écrit :



DTC mon cher … DTC <img data-src=" />





Ca compte pas là. Hors contexte du “où”…&nbsp;









Pwney a écrit :



Sous Windows XP SP3 et VLC 2.1.5, la lecture du fichier de ce ticket fait planter VLC avec le log suivant :



– logger module started –

main: Lancement de vlc avec l’interface par défaut. Utilisez « cvlc » pour démarrer VLC sans interface.

main error: Failed to resize display

main error: Failed to resize display



VLC étant lancé comme ceci :

vlc –file-logging





Est-ce que c’est une confirmation du bug ?







Ça pourrait. Tu peux mettre en verbose et essayer en sortie Direct3D et OpenGL?









jb a écrit :



Mais en fait, même pas, y a rien du tout…&nbsp;



Le mec se plaint qu’il y a un bug, je vérifie et je vois que ça marche sous Linux en 2.1.5 et en 2.2.0.&nbsp;

Je vois que ça marche sous Windows en 2.2.0-rc2.&nbsp;



Donc, je me dis, c’est un bug libavcodec, qui a été fixé, depuis la 2.1.5.&nbsp;



Mais en fait, ensuite, je regarde en 2.1.5, et les 2 fichiers ne font même pas crasher VLC 2.1.5 sous Windows… Donc à partir de là, c’est juste du vent…



ouch, sacrée mauvaise réponse quand même, la première phrase fait peur : Le dev n’arrive pas à reproduire sur sa machine et 2-3 autres, donc circulez, il n’y a rien, on clôture le bug (et on dit que c’est pas nous, de toute façon, sans fournir de détails sur ce qui pointe vers la lib incriminée non plus). Mouais… Laisser ouvert en demandant des détails semble quand même plus sérieux (si les échanges que l’on voit sur les bugs sont les seuls , du moins)




Et sinon, sous win, comme c'est bien vlc qui fournit la lib (et qui seuls peuvent la mettre à jour si besoin), donc oui assigner le bug à vlc est quand même plutôt normal (après, en pondre un cve, mouais). Et la correction éventuelle passerait par une MAJ de vlc pour fournir la lib patchée.      





C’est pas vraiment aux utilisateurs qui signalent des bugs de retrouver la lib exacte d’origine..



&nbsp;








Tim-timmy a écrit :



ouch, sacrée mauvaise réponse quand même







Ah, mais j’attendais mon hater de VLC préféré… Ça faisait longtemps. Tu me manquais pas.



Des mecs qui disent faire avoir des failles de sécu sur VLC y en a des dizaines par semaine. Et je suis gentil…

Pleins de mecs ont des builds customs, donc c’est courant que ça crashe chez eux seulement.



Soit tu prouves ta faille de sécurité (par un exploit ou une vraie analyse), soit tu la fermes.



Le bug a été testé par des centaines de personnes et personne ne peut reproduire.



Et en plus, une solution simple est donnée: mettre à jour en 2.2.0-rc2 qui a des protections supplémentaires.



Ah bah non, c’est assez simple à prouver.


tellement hater que je l’utilise … ouah.&nbsp;<img data-src=" />



sinon la dernière phrase fait un peu :&nbsp;“Personne n’est arrivé à reproduire sur l’ancienne version, mais de toute façon, la nouvelle version n’est pas touchée”. Ca inspire confiance!&nbsp;Juste à espérer que ça tombe bien dans le cadre des nouvelles protections, donc, si ça existe …



Donc dire “non, rien à voir, c’est du vent, il la ferme”, c’est .. ok ..&nbsp;&nbsp;de la comm’ (sûrement pour contrer un début de bad buzz dont je n’avais même pas entendu parler avant, comme probablement pas mal de monde… bien foiré donc le coup de la réponse exclusive au média ami n°1)








Tim-timmy a écrit :



sinon la dernière phrase fait un peu : ”Personne n’est arrivé à reproduire sur l’ancienne version, mais de toute façon, la nouvelle version n’est pas touchée”. Ca inspire confiance! Juste à espérer que ça tombe bien dans le cadre des nouvelles protections, donc, si ça existe …







Des crash dans les bibliothèques multi-médias, y en a des milliers. Et je suis poli.

Et ça affecte tout le monde, de VLC à Chrome à ta TV.



En 2.2.0, on a été beaucoup plus conservateurs, pour éviter ces crashs.



De toute façon, toutes les versions de VLC sous windows sont avec DEP et ASLR, donc sont pas trivialement exploitables.



je suis bien d’accord … Là c’est le windbg qui dit exploitable, je ne sais pas bien ce que ça implique et il est probable que parler directement de faille de sécu est un peu fort… Mais nier le problème de manière aussi abrupte ne me semble pas la chose à faire non plus, ça a plutôt tendance à avoir l’effet inverse à celui recherché …








jb a écrit :



Ah alors, j’ai rien dit.



Des failles dans VLC, il y en a des milliers. :)



Roh ! tout ça pour faire du commerce avec la NSA sur le dos des utilisateurs ! ;)





vampire7 a écrit :



Une faille de sécurité n’est pas censée faire crasher quoi que ce soit…



De ce point de vue la, l’expression est tout à fait correct.



Après, JB le dis avec ses mots, et saoulé, mais quand tu cris au loup, faut au moins montrer un loup, pas un tigre, et encore moins un chaton ou pointer une hombre déformée par le soleil.



Perso, j’en ai entendu parlé y’a quelques jours, mais je n’ai pas trop poussé, dans la mesure où “la faille fait planter VLC sous XP SP3” je ne me suis pas pris la tête plus que ça.

L’OS n’est en soit plus supporté, de nombreuses appli ne sont plus mises à jour pour cet OS, etc…

Ce serait bien de passer à des OS supporter pour ce genre de trucs, et pas des OS où les versions qui perdurent sont en grande partie des versions pirates.









jb a écrit :



Ah bah non, c’est assez simple à prouver.





Ah bon ? <img data-src=" />









the_Grim_Reaper a écrit :



Roh ! tout ça pour faire du commerce avec la NSA sur le dos des utilisateurs ! ;)





Rigole pas, on a déjà eu des demandes d’agences semi-gouv, pour ce genre de choses.



dingue le gars à le temps de trouver des failles dans vlc, mais pas de faire migrer son obsolète <img data-src=" />





&nbsp;





rudyhuyn a écrit :



Autant partager ma réaction Facebook.



Y’a pas mal d’erreur là dedans.



Ce n’est pas parce que tu vois rien que y’a rien. L’exploitation en question ne signifie pas crash de l’App ou de l’OS mais écriture dans un espace mémoire d’une autre app/OS ou exécution de code, et ca c’est pas en regardant vlc se lancer que tu le verras s’il y a un problème.



Si y’a une faille dans une des libs qu’utilise VLC, on peut dire sans aucun soucis que VLC a une faille. Ce qui est important c’est ce qu’installe l’utilisateur, pas la mécanique interne. Après le CVE n’est pas pour VLC, mais ça ne change pas pour autant qu’une personne qui installe VLC et qui l’exécute peut rencontrer cette faille.



Mauvaise communication de la part de VLC sur le sujet, il vaut mieux dire “en effet, ca vient d’une librairie qu’on ne contrôle pas, on va les aider” que de dire “c’est du vent” alors que c’est pas vraiment le cas.



C’est une grosse erreur de développeur que de penser que l’on est + expert que les autres, surtout sur un domaine bien spécifique comme celui- là, l’expert en question n’est pas un&nbsp;inconnu&nbsp;

&nbsp;Si tu n’arrives pas à le reproduire, tu demandes + d’info, tu passes un coup de fil, tu fais du remote desktop, etc… mais tu n’envoies pas chier comme ça. Ca peut être lié à l’environnement, à un OS, à une version de l’app, etc… plein de choses qui ne permettent pas de le reproduire en local, mais il ne faut surtout pas ignorer comme cela

Mon conseil : Si un expert vous dit qu’il y a prob, travaillez avec, ne vous le foutez pas à dos



My 2 cents





un réaction fessebouque wahou ça rigole pas









jb a écrit :



&nbsp;Rigole pas, on a déjà eu des demandes d’agences semi-gouv, pour ce genre de choses.&nbsp;



T’es pas sérieux là ? Sur du LL ?&nbsp;<img data-src=" />









jb a écrit :



Rigole pas, on a déjà eu des demandes d’agences semi-gouv, pour ce genre de choses.





Je suppose qu’on aura pas plus de détails <img data-src=" />









Bug a écrit :



Je suppose qu’on aura pas plus de détails <img data-src=" />





Si. Mais après, il est obligé de te tuer <img data-src=" />&nbsp;



Juste pour dire.



Peu importe le bug, qu’il en soit un ou pas, je pense que ce qui est reproché ici n’est pas le fond mais la forme. Et je dois avouer que les commentaires que je lis de ta part jb (je me permet de te tutoyer, le pseudo s’y prête bien) me semble tout simplement violent.

Ça me rappelle étrangement des échanges stériles à propos de systemd.

Un conseil : gardez la tête froide.


Tout ca pour un soit disant bug sur un système TOTALEMENT obsolète … <img data-src=" />








SuXiNeTTe a écrit :



Juste pour dire.



Peu importe le bug, qu’il en soit un ou pas, je pense que ce qui est reproché ici n’est pas le fond mais la forme. Et je dois avouer que les commentaires que je lis de ta part jb (je me permet de te tutoyer, le pseudo s’y prête bien) me semble tout simplement violent.

Ça me rappelle étrangement des échanges stériles à propos de systemd.

Un conseil : gardez la tête froide.





Je me tâtais à intervenir pour faire un commentaire à peu près équivalent, donc je me contenterai d’un gros +1.









SuXiNeTTe a écrit :



Ça me rappelle étrangement des échanges stériles à propos de systemd.





Concernant Systemd, c’est souvent justifié. <img data-src=" />



et on retombe sur la nsa, comme ici :p (que ce soit le debian project leader ou jb, de toute façon, leur adresse mail c’est @nsa.gov, c’est connu)


La faille est rapportée par “!exploitable” qui est un outil d’analyse des traces d’un crash. C’est une extension de Windbg, créé par l’équipe de Microsoft Security Engineering Center (MSEC).



Cet outil décrit la faille comme “EXPLOITABLE” car elle cause un accès en lecture/écriture dans une zone mémoire utilisateur.



L’outil fait un simple constat. Ca n’implique pas forcément que c’est réellement exploitable. Ca ne prouve pas non plus que VLC est le seul et unique fautif.





exploitable 1.6.0.0



Description: User Mode Write AV

Short Description: WriteAV

Exploitability Classification: EXPLOITABLE

Recommended Bug Title: Exploitable - User Mode Write AV starting at libvlccore!picture_Release+0x0000000000000004 (Hash=0x0dffbf1c.0xf3055073)



User mode write access violations that are not near NULL are exploitable.








jb a écrit :



Ah, mais j’attendais mon hater de VLC préféré… Ça faisait longtemps. Tu me manquais pas.



Des mecs qui disent faire avoir des failles de sécu sur VLC y en a des dizaines par semaine. Et je suis gentil…

Pleins de mecs ont des builds customs, donc c’est courant que ça crashe chez eux seulement.



Soit tu prouves ta faille de sécurité (par un exploit ou une vraie analyse), soit tu la fermes.



Le bug a été testé par des centaines de personnes et personne ne peut reproduire.



Et en plus, une solution simple est donnée: mettre à jour en 2.2.0-rc2 qui a des protections supplémentaires.





&nbsp;

Que de violence… D’une manière générale, rapporter des failles de sécurité, c’est un geste gentil. Le gars pourrait vendre ça sur le marché gris pour très cher, mais il choisit de la divulguer.



Dans ce cas là, on manque de détails. Je ne sais pas le contenu de vos échanges, mais le gars explique qu’il y a une corruption de mémoire: ça ne provoque pas forcément un crash. En tout cas, il faut s’y intéresser plutôt que de l’envoyer chier.



“Le bug a été testé par des centaines de personnes” &lt;= c’est-à-dire ? Des centaines de personnes ont ouvert vlc avec WinDbg et fait des steps dans le code incriminé pour voir s’il y avait une écriture mémoire foireuse ? Ou alors, ils ont simplement ouvert le sample, et dit “ça crashe pas c’est bon” ? C’est bien différent.



Autant je suis d’accord quand tu dis qu’il faut fournir, sinon un exploit, au moins une analyse (parce que le post sur seclists ne donne pas beaucoup d’infos), autant voir une réaction violente comme ça, ça me donne envie de vendre sur le marché gris une faille de VLC si j’en découvre une, plutôt que de la rapporter à l’équipe.









FRANCKYIV a écrit :



Tout ca pour un soit disant bug sur un système TOTALEMENT obsolète … <img data-src=" />





<img data-src=" />



C'est une question de point de vue puisque :      







  • Des entreprises/gouvernements ont payés des extensions de MAJs de W_XP ;

  • Énormément de matériel fonctionne encore sur des XP. Vieux, ok, mais tout de même ;

  • Et je compte même pas les pays du “tiers-monde” ou encore “en voie de développement” qui utilisent encore beaucoup cette version.



    Bref, en un mot comme en cent, ça peut potentiellement toucher énormément de monde, donc c’est important.

    &nbsp;





    Freud a écrit :



    Autant je suis d’accord quand tu dis qu’il

    faut fournir, sinon un exploit, au moins une analyse (parce que le post

    sur seclists ne donne pas beaucoup d’infos), autant voir une réaction

    violente comme ça, ça me donne envie de vendre sur le marché gris une

    faille de VLC si j’en découvre une, plutôt que de la rapporter à

    l’équipe.





    L’équipe de VLC, même s’ils ont mis au point un Soft très intéressant et gratuit, n’en a pas moins un lourd passé de communication foireuse. Et comme dirais l’autre “Je suis poli” <img data-src=" />.

    C’est dommage au fond, pourquoi passer pour des abrutis de première alors qu’on a un soft qui est utilisé par des centaines de millions de personnes … l’un n’empêche pas l’autre, mais tout de même.

    &nbsp;

    &nbsp;

    Après, apparement y’a des débats de développeurs_libristes_anarchistes par ici, donc je vais me retirer. Un admin réseau ça tire à vue et j’aimerais pas déscendre le premier barbu que je croise, ça ferrai tache dans les commentaires <img data-src=" />









philanthropos a écrit :



Un admin réseau ça tire à vue et j’aimerais pas déscendre le premier barbu que je croise, ça ferrai tache dans les commentaires <img data-src=" />





Le type qui a fait réseaux et qui se permet de l’ouvrir. <img data-src=" />



(Je sens que je vais me faire beaucoup d’amis <img data-src=" />)









Nikodym a écrit :



Le type qui a fait réseaux et qui se permet de l’ouvrir. <img data-src=" />




  (Je sens que je vais me faire beaucoup d'amis <img data-src=">)








 Je l'ouvre pas sur le plan technique (qui me dépasse clairement, je l'assume), tu remarquera&nbsp;<img data-src="> . Je laisse ce plaisir aux "experts" auto-désignés <img data-src=">  



Sinon on se fait un <img data-src=" /> et je t’offre un Pain au Chocolat ?



Pourquoi un Pain au Chocolat ? <img data-src=" />








Mithrill a écrit :



Parce qu’il n’est pas trop Mis’, il est Phil’… t’a de la chance tu fera pas partie de la tuerie de la boutique du Sud, l’épisode à la chocolatine… 



http://www.legorafi.fr/2013/03/20/toulouse-il-se-fait-abattre-de-46-balles-dans-…



<img data-src=" />





<img data-src=" />



AH, ça va faire 21h que je suis debout… <img data-src=" />



et je vais devoir tenir encore 16h, au moins <img data-src=" /> <img data-src=" /> <img data-src=" />


Ils ont 3 mois pour corriger le bug, sinon Google va le publier publiquement… ;-)








SwissTico a écrit :



Ils ont 3 mois pour corriger le bug, sinon Google va le publier publiquement… ;-)





<img data-src=" />



Si je dis pas de connerie le m2v c’est du MPEG2 … donc finalement le format utilisé dans les DVD Vidéo.

du coup ça fait … des tas de gens qui l’utilisent ! <img data-src=" />








Ricard a écrit :



T’es pas sérieux là ? Sur du LL ? <img data-src=" />





Bah si.







Bug a écrit :



Je suppose qu’on aura pas plus de détails <img data-src=" />





Non.







SuXiNeTTe a écrit :



Peu importe le bug, qu’il en soit un ou pas, je pense que ce qui est reproché ici n’est pas le fond mais la forme.





Et alors? Désolé, mais so what?



Dire publiquement et clairement que le “chercheur de sécurité” se fout de notre gueule et nous crache dessus:




  • refus d’un disclosure correct,

  • refus de l’utilisation des policy de reporting de sécurité,

  • refus de tester les autres versions, notamment plus récentes,

  • refus de donner une backtrace complète,

  • refus de tester la bibliothèque sous-jacente,

  • assigner un CVE alors qu’on demande de pas le faire,

  • ensuite balancer à seclist, et

  • envoyer des mails à tous les média







    Alors que la plupart des gens reproduisent pas (machine spécifique? driver? version non officielle?)



    Ouais, j’ai le droit de dire ce que je pense et avec le ton que je veut.

    Ça plait pas, mais je suis pas CEO d’une boite qui fait du pognon.



    Mais le business de la sécurité, c’est la vente de FUD.







    SuXiNeTTe a écrit :



    systemd





    La comparaison avec systemd est tellement hors de propos que ça décrédibilise tout ton argument. C’est dommage, parce que tu n’as pas tort, sur ton argument principal. Les objections contre Lennart sont techniques et factuelles, pas parce qu’on aime pas le ton.







    SwissTico a écrit :



    Ils ont 3 mois pour corriger le bug, sinon Google va le publier publiquement… ;-)





    Bah, avant de corriger, faudrait reproduire.









philanthropos a écrit :



Bref, en un mot comme en cent, ça peut potentiellement toucher énormément de monde, donc c’est important.





Mais encore faut-il qu’il y ait vraiment un bug dans VLC. Ce qui reste à prouver.







philanthropos a écrit :



L’équipe de VLC, même s’ils ont mis au point un Soft très intéressant et gratuit, n’en a pas moins un lourd passé de communication foireuse. Et comme dirais l’autre “Je suis poli” <img data-src=" />.





En quoi?







philanthropos a écrit :



C’est dommage au fond, pourquoi passer pour des abrutis de première alors qu’on a un soft qui est utilisé par des centaines de millions de personnes … l’un n’empêche pas l’autre, mais tout de même.





Je doute qu’on passe pour des abrutis, désolé.



Et qui utilise XP SP3 ? …


En tout cas c’est intéressant comme discussion, et je trouve ça sympa que jb vienne apporter des précisions, qu’on soit d’accord ou pas avec la forme de ses propos.








Freud a écrit :



Que de violence… D’une manière générale, rapporter des failles de sécurité, c’est un geste gentil. Le gars pourrait vendre ça sur le marché gris pour très cher, mais il choisit de la divulguer.







Non, reporter un bug gentillement, c’est le faire selon la procédure, c’est à dire, pas par le bug tracker.







Freud a écrit :



Dans ce cas là, on manque de détails. Je ne sais pas le contenu de vos échanges, mais le gars explique qu’il y a une corruption de mémoire: ça ne provoque pas forcément un crash. En tout cas, il faut s’y intéresser plutôt que de l’envoyer chier.





Mais ça fait des semaines que tout le monde s’y intéresse. Tu crois que les gens font quoi?







Freud a écrit :



“Le bug a été testé par des centaines de personnes” &lt;= c’est-à-dire ? Des centaines de personnes ont ouvert vlc avec WinDbg et fait des steps dans le code incriminé pour voir s’il y avait une écriture mémoire foireuse ? Ou alors, ils ont simplement ouvert le sample, et dit “ça crashe pas c’est bon” ? C’est bien différent.





WinDbg, gdb, machines VM et physique sous XP. Personne n’a eu le crash ci-dessus.

Sache aussi que WinDbg a toujours galéré, vu qu’on compile avec gcc.







Freud a écrit :



Autant je suis d’accord quand tu dis qu’il faut fournir, sinon un exploit, au moins une analyse (parce que le post sur seclists ne donne pas beaucoup d’infos), autant voir une réaction violente comme ça, ça me donne envie de vendre sur le marché gris une faille de VLC si j’en découvre une, plutôt que de la rapporter à l’équipe.





Mais franchement, fais-le. Les failles de VLC sur le marché gris (pourquoi pas noir?), actuellement, elles sont à 50-100$. Tu vas pas faire fortune.



Par contre, les failles libavcodec, elles valent beaucoup beaucoup plus…



Quant aux réactions violentes, c’est juste que j’en ai ma claque de ces security-script-kiddies qui me font perdre des journées entières, et qui ne sont pas capable d’appuyer leur claims. C’est pas mon métier, hein?









jb a écrit :



Mais le business de la sécurité, c’est la vente de FUD.





Et c’est là qu’on apprend que le gars travaille justement pour une entreprise de sécurité informatique <img data-src=" />



En tout cas ta phrase résume bien le business actuel, malheureusement.



Peut-être juste un mec qui veut se faire connaître en faisant le buzz…



En fait j’en profite que tu sois là pour demander : c’est normal que la lecture de vidéos YouTube depuis VLC n’a jamais fonctionné chez moi ? <img data-src=" />



Non, c’est pas normal.



Teste une 2.2.0-rc2, on a réécrit une grosse partie du support Youtube.


[quote] Ouais, j’ai le droit de dire ce que je pense et avec le ton que je veut.



&nbsp;Je doute qu’on passe pour des abrutis, désolé. [quote]



tout comme les gens ont aussi le droit de dire que votre communication laisse franchement à désirer, et avec le même ton que celui là. ça te plait tant pis, ils ne sont pas CEO d’une boite qui fait du pognon



Vous passez pas pour des abrutis non mais pour des mecs&nbsp; arrogants, obtus, méprisants et limite insultants,

Mais bon c’est pas nouveau malheureusement, vous aimez cultiver cette image, tant mieux pour vous mais après faut pas s’étonner…


Quoi que tu dises jb de toute manière y’a des personnes que tu ne pourras pas convaincre, même en apportant toutes les meilleurs preuves du monde…



Je sais que moi en tout cas je m’inquiète pas, vu la qualité de VLC, et le travail fourni pour ce lecteur qui me rend bien service depuis tellement d’année, c’est pas ça qui va me faire peur…



Si vous aimez lire des fichiers inconnus qui viennent du tr du * du monde grand bien vous fasses, moi je vérifie un minimum ^^“.



Et puis bon parler de faille de sécurité sur un Windows XP qui doit surement en compter des milliers d’autres… Au pire ça fait juste une raison de plus de migré quoi ^^








Vekin a écrit :



En fait j’en profite que tu sois là pour demander : c’est normal que la lecture de vidéos YouTube depuis VLC n’a jamais fonctionné chez moi ? <img data-src=" />







Si tu es chez Free, la réponse est évidente, et VLC n’y est pour rien.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />









HenryBasmati a écrit :



tout comme les gens ont aussi le droit de dire que votre communication laisse franchement à désirer, et avec le même ton que celui là. ça te plait tant pis, ils ne sont pas CEO d’une boite qui fait du pognon





Mais tout à fait. Les gens sont habitués à une communication bullshit lisse de grosses boites. Nous on ne fait pas ça. Nous on bosse comme des dingues pour qu’on puisse lire toutes les vidéos, partout.







HenryBasmati a écrit :



Vous passez pas pour des abrutis non mais pour des mecs  arrogants, obtus, méprisants et limite insultants,





Si tu veux. Je vois pas vraiment le arrogant ou obtus, mais t’as le droit de penser ce que tu veux.







NeoYoH a écrit :



Quoi que tu dises jb de toute manière y’a des personnes que tu ne pourras pas convaincre, même en apportant toutes les meilleurs preuves du monde…







Ah, mais ça fait longtemps que je ne cherche pas la reconnaissance universelle. et que je m’en tape. (cf Dumbledore).



Je bosse pour moi, et pour faire des trucs bien, et c’est globalement en route pour le début de cette année….









Commentaire_supprime a écrit :



Si tu es chez Free, la réponse est évidente, et VLC n’y est pour rien.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Rhoo!! Et je n’ai même pas eu le temps de la faire <img data-src=" />









HenryBasmati a écrit :



tout comme les gens ont aussi le droit de dire que votre communication laisse franchement à désirer, et avec le même ton que celui là. ça te plait tant pis, ils ne sont pas CEO d’une boite qui fait du pognon



Vous passez pas pour des abrutis non mais pour des mecs  arrogants, obtus, méprisants et limite insultants,

Mais bon c’est pas nouveau malheureusement, vous aimez cultiver cette image, tant mieux pour vous mais après faut pas s’étonner…





Ben tu vois moi c’est tout le contraire…

Je préfère 1000 fois quelqu’un qui parle cash et en face, que quelqu’un (d’une grosse boite par exemple) à la communication bien policée mais qui t’entube à côté. Entre les 2 cas, celui qui te prend pour un imbécile n’est pas celui que tu crois <img data-src=" />









Tim-timmy a écrit :



tellement hater que je l’utilise … ouah.&nbsp;<img data-src=" />





C’est vrai que c’est l’idéal pour visionner des séries télévisées.



<img data-src=" />



ah oui c’est vrai dans la vie c’est soit soit l’autre…

soit le cash insultant soit l’hypocrisie

ah non on peut dire les choses clairement avec politesse hein, et c’est marrant mais c’est ce qui marche le mieux



et il n’y a pas de rapport avec l’ouverture d’esprit ou à la communication


Discours de sourrrrrrrrrrrrrrrrrrrrrrrrd…



Ralala…



Et au final on parle même plus du sujet initial tien !



Mais ou est caché Carmen Sandiego?? (enfin je crois que c’est ça, j’ai pas une très bonne mémoire)


Non, pas en étant en Suisse <img data-src=" />








HenryBasmati a écrit :



soit le cash insultant soit l’hypocrisie







Où est l’insulte?



tiens l’hypocrisie fait surface maintenant <img data-src=" />


+1.



Et quand tu as affaire à un abruti, lui faire des salamalecs, ça sert à rien. Autant lui dire la vérité en face quitte à être a minima cassant.



Les cons, si tu ne leur dis pas brut de décoffrage qu’ils en sont, tu ne fais que les entretenir dans leur connerie.


Ok, je testerai, merci <img data-src=" />



En tout cas je voulais en profiter pour féliciter toute la team derrière ce magnifique logiciel <img data-src=" />



Il faudra voir un jour si je ne peux pas apporter ma pierre à l’édifice d’une manière ou d’une autre…



Les rares fois où je ne l’utilise pas, c’est lorsqu’il n’arrive pas à lire un fichier (très rare heureusement) et pour lire les Blu-ray commerciaux (un jour peut-être…).



D’ailleurs, si on trouve un format que VLC n’arrive pas à lire, il y a un moyen de vous en faire part afin que vous trouviez une solution ?








HenryBasmati a écrit :



ah oui c’est vrai dans la vie c’est soit soit l’autre…

soit le cash insultant soit l’hypocrisie

ah non on peut dire les choses clairement avec politesse hein, et c’est marrant mais c’est ce qui marche le mieux



et il n’y a pas de rapport avec l’ouverture d’esprit ou à la communication





Etre sec et direct n’est pas être insultant.

J’ai été formé comme cela… J’ai passé des heures et des heures de colle avec des types qui me montraient direct l’étendue de mes ignorances (et elles sont nombreuses). Au début je les détestais et puis je me suis rendu compte que finalement ce sont eux qui m’ont fait le plus avancer [/my life off]



Celui qui m’insulte justement c’est celui qui me raconte des cracks en souriant et en me regardant droit dans les yeux.










HenryBasmati a écrit :



tiens l’hypocrisie fait surface maintenant <img data-src=" />





Non, je suis sérieux. Où ai-je insulté?









rudyhuyn a écrit :



Autant partager ma réaction Facebook.



Y’a pas mal d’erreur là dedans.



Ce n’est pas parce que tu vois rien que y’a rien. L’exploitation en question ne signifie pas crash de l’App ou de l’OS mais écriture dans un espace mémoire d’une autre app/OS ou exécution de code, et ca c’est pas en regardant vlc se lancer que tu le verras s’il y a un problème.



Si y’a une faille dans une des libs qu’utilise VLC, on peut dire sans aucun soucis que VLC a une faille. Ce qui est important c’est ce qu’installe l’utilisateur, pas la mécanique interne. Après le CVE n’est pas pour VLC, mais ça ne change pas pour autant qu’une personne qui installe VLC et qui l’exécute peut rencontrer cette faille.



Mauvaise communication de la part de VLC sur le sujet, il vaut mieux dire “en effet, ca vient d’une librairie qu’on ne contrôle pas, on va les aider” que de dire “c’est du vent” alors que c’est pas vraiment le cas.



C’est une grosse erreur de développeur que de penser que l’on est + expert que les autres, surtout sur un domaine bien spécifique comme celui- là, l’expert en question n’est pas un inconnu 

 Si tu n’arrives pas à le reproduire, tu demandes + d’info, tu passes un coup de fil, tu fais du remote desktop, etc… mais tu n’envoies pas chier comme ça. Ca peut être lié à l’environnement, à un OS, à une version de l’app, etc… plein de choses qui ne permettent pas de le reproduire en local, mais il ne faut surtout pas ignorer comme cela

Mon conseil : Si un expert vous dit qu’il y a prob, travaillez avec, ne vous le foutez pas à dos



My 2 cents







Plutot d’accord.

Après faut voir que l’équipe VLC reçoit peut-être des dizaines de messages similaires tous les jours, d’où l’exaspération et les réactions épidermiques.



Toute façon maintenant gardé XP sp3 c’est une faute peu importe qui ouvre la brèche.








Tourner.lapache a écrit :



Après faut voir que l’équipe VLC reçoit peut-être des dizaines de messages similaires tous les jours, d’où l’exaspération et les réactions épidermiques.





C’est de l’ordre de la douzaine par jour, juste pour la sécurité.









knos a écrit :



Toute façon maintenant gardé XP sp3 c’est une faute peu importe qui ouvre la brèche.







Sauf en Chine ! <img data-src=" />



Perso , histoire de pas faire comme les autres, je voulais remercier JB pour son travail.

VLC est tout juste “la base” aussi loin que je m’en souvienne. C’est un peu le Winamp de la vidéo :)



Concernant la faille, c’est sympa de la faire remonter mais sans informations détaillées , c’est clair que ça vaut pas grand chose.

(ça me rappelle mes administrés qui t’envoie une petite note du style “ça marche pas !!!”)



Tout ça pour dire, te prends pas trop la tête JB, merci de venir ici discuter avec nous et continues à faire du bon boulot , c’est la classe… <img data-src=" />

&nbsp;



@Nikodim Les admin réseaux auront ta peaux!!!! ^^ <img data-src=" />


non aucun mot insultant en eux même c’est sûr, vous avez bien fait attention parce que même sous couvert de “je suis cash, je préfère ça aux lèche-cul qui te la font pas derrière”, il y a quand même une reflexion sur cette communication

après il y le ton employé c’est tout



bref, certains trouvent votre ton arrogant, méprisant et limite insultant

vous vous en tapez cordialement donc pas la peine d’épiloguer



&nbsp;








HenryBasmati a écrit :



non aucun mot insultant en eux même c’est sûr, vous avez bien fait attention parce que même sous couvert de “je suis cash, je préfère ça aux lèche-cul qui te la font pas derrière”, il y a quand même une reflexion sur cette communication





Non, c’est juste que je dis quand ça va pas (et quand les gens font n’imp), mais je n’insulte jamais (ou alors je m’excuse).





HenryBasmati a écrit :



après il y le ton employé c’est tout





Quel ton? A quel endroit? Sur des commentaires sur NXi? Mouais.







HenryBasmati a écrit :



bref, certains trouvent votre ton arrogant, méprisant et limite insultant

vous vous en tapez cordialement donc pas la peine d’épiloguer







Ah mais si épiloguons! C’est ‘dredi.



Donc finalement, j’insulte pas? “limite insultant”, ça veut dire quoi?



Passons à la suite. Où est l’arrogance ? Parce que je dis que ce qu’il fait n’est pas bien, et que c’est pas comme ça qu’on fait de la recherche en sécurité ? En quoi c’est arrogant de dire ça ?



Méprisant ? Qui est-ce que je méprise ?



Ouais, je suis assez énervé par l’attitude de ce chercheur en sécurité qui lâche des 0-days, qui informe la presse, et qui refuse d’appuyer ses dires. Et oui, je le dis cash.



Mais arrogant, insultant ou méprisant, non.









HenryBasmati a écrit :



bref, certains trouvent votre ton arrogant, méprisant et limite insultant

vous vous en tapez cordialement donc pas la peine d’épiloguer







C’est exactement ce que je pense de tes commentaires sur cette news… défendre à corps et à cri ce cas de sécurité que personne ne semble pouvoir reproduire et qui a mal été remonté, sans information supplémentaire et sans dialogue de la part du rapporteur qui ensuite contact les médias pour se faire mousser : et dans ton esprit c’est JB qui est en tort ? Mais pourquoi ? <img data-src=" />



En plus cette réaction “épidermique” de JB n’est pas sur le coup mais après avoir testé. Ce faire ensuite contacter par les media les uns après les autres pour du vent, je m’échaufferai aussi un tantinet <img data-src=" />



La chine c’est son problème.








jb a écrit :



Mais tout à fait. Les gens sont habitués à une communication bullshit lisse de grosses boites. Nous on ne fait pas ça. Nous on bosse comme des dingues pour qu’on puisse lire toutes les vidéos, partout.





à ce sujet, je suppose que VLC sur Windows RT c’est un peu mort :/ ? (c’est pas une critique, je sais qu’il y avait des soucis pour le développer et vu que maintenant RT est plus ou moins mort ça paraît logique)



Ou j’ai ptêtre raté une info, mais en faisant une recherche vite fait, j’ai pas trouvé ;)



Ah mon dieu je viens de tester et ça marche nickel. Enfin ^^

Testé avec le live de France24, j’ai une qualité merdique et je trouve pas de moyen de switcher. J’ai tenté les vq=hd1080 dans l’url ou encore le fmt=22 mais ça ne change pas.

Testé avec un épisode de Cyanide & Happiness et là j’ai du 720 direct !



J’imagine que cela dépend du réglage de la vidéo youtube.

En tout cas, super travail !


D’ailleurs, j’aurais une petite question à JB ou même la rédaction.



Partout, on parle de Thomas Nigro comme une personne “se présentant comme développeur de VLC pour Windows”.



Il est développeur VLC ou pas, parce que la formulation met un peu le doute quand même.








FRANCKYIV a écrit :



Tout ca pour un soit disant bug sur un système TOTALEMENT obsolète … <img data-src=" />





C’est un peu ce que je voulais commenter.. faille sous Windows XP… est-ce bien la faute à VLC? et si ça bug sous windows 95?

Si Microsoft a stoppé la correction pour le grand public, qu’il y ait des failles pour les programmes qui tournent dessus ne m’étonne pas.



une petite question pour le non initié que je suis (et pour clarifier les “connaissance” de chacun après la lecture des 8 pages ^^) , JB est le président de VideoLAN si j’ai bien compris ? http://fr.wikipedia.org/wiki/VideoLAN)


Veysel a apparemment mis les petits plats dans les grands pour une faille qui retombe comme un soufflé, faute des ingrédients pour la reproduire. Normal que le torchon brûle….



Ferait bien d’y retourner, Hataş Veysel <img data-src=" />








carbier a écrit :



Ben tu vois moi c’est tout le contraire…

Je préfère 1000 fois quelqu’un qui parle cash et en face, que quelqu’un (d’une grosse boite par exemple) à la communication bien policée mais qui t’entube à côté. Entre les 2 cas, celui qui te prend pour un imbécile n’est pas celui que tu crois <img data-src=" />







Pareil. Les mecs qui te passent la savonnette avec le sourire, ça a le don de me gonfler (même si à titre personnel je suis plutôt de nature diplomate)

Après ça ne marche pas avec tout le monde, certains se braquent. Faut aussi assumer le fait d’être pris pour un gros connard méprisant.

Mais quand t’as une montagne de boulot et pas de temps à perdre, il faut savoir dire les choses rapidement et clairement.



Comme ce célèbre dialogue issu de Kaamelott :

“- c’est de la merde”

“- ne soyez pas aussi Catégorique Karadok, developpez votre propos”

“- y’a rien à développer, c’est de la merde et puis c’est tout!”



<img data-src=" />

&nbsp;





jb a écrit :



Mais tout à fait. Les gens sont habitués à une communication bullshit lisse de grosses boites. Nous on ne fait pas ça. Nous on bosse comme des dingues pour qu’on puisse lire toutes les vidéos, partout.



année....







Et vous venez vous expliquer et vous justifier dans les commentaires de NXi! GG les gars <img data-src=" />



Où est-ce que j’ai dit qu’il avait tort sur le sujet de cette faille particulière ?








detlef a écrit :



une petite question pour le non initié que je suis (et pour clarifier les “connaissance” de chacun après la lecture des 8 pages ^^) , JB est le président de VideoLAN si j’ai bien compris ? http://fr.wikipedia.org/wiki/VideoLAN)







Gloire au Grand Cône !









ActionFighter a écrit :



Veysel a apparemment mis les petits plats dans les grands pour une faille qui retombe comme un soufflé, faute des ingrédients pour la reproduire. Normal que le torchon brûle….



Ferait bien d’y retourner, Hataş Veysel <img data-src=" />





<img data-src=" /> <img data-src=" /><img data-src=" /><img data-src=" />



Prochaine religion après le pastafarisme ?








jb a écrit :



Où est l’insulte?







Nan mais c’est juste l’hôpital qui se fou de la charité … <img data-src=" />



On dit que tu es insultant :



Et dans le même temps, on te traite d’abruti … <img data-src=" />



Adresse Web :

http://www.nextinpact.com/news/92820-des-failles-dans-vlc-du-vent-pour-jean-baptiste-kempf.htm#/comment/5283343



<img data-src=" />





Longue vie à VLC et à ses créateurs !









jb a écrit :



…..

&nbsp;





Sinon, j’ai constaté que VLC avait des soucis pour lire les bande son en PCM en 24bits 48khz. Problème connu ?









FRANCKYIV a écrit :



Nan mais c’est juste l’hôpital qui se fou de la charité … <img data-src=" />



On dit que tu es insultant :



Et dans le même temps, on te traite d’abruti … <img data-src=" />



Adresse Web :

http://www.nextinpact.com/news/92820-des-failles-dans-vlc-du-vent-pour-jean-baptiste-kempf.htm#/comment/5283343



<img data-src=" />





Longue vie à VLC et à ses créateurs !





VLC a tout révolutionné ou presque. Jme souviens encore de l’époque ou il fallait installer différents softs pour la lecture, des softs pour les codecs etc. Maintenant VLC fait tout ça de manière simple et efficace









CryoGen a écrit :



En plus cette réaction “épidermique” de JB n’est pas sur le coup mais après avoir testé. Ce faire ensuite contacter par les media les uns après les autres pour du vent, je m’échaufferai aussi un tantinet <img data-src=" />







Je crois surtout que ce qui dérange certains c’est la façon dont sont présentées les choses chronologiquement.



Grosso modo quand on lit l’article il est dit:




  1. Un kidam quelconque dit avoir trouvé une faille, il a ouvert des tickets etc…



    -&gt; dans la tete des gens il a fait ce qu’il fallait, puisque le contraire n’est pas dit.



  2. JB, président de VideoLan a fermé les tickets en disant “c’est pas nous c’est l’autre”



    -&gt; dans la tete des gens il se cache derrière son petit doigt et semble arrogant genre “nous on gère on ne fait pas de failles”



  3. contacté par NXi il persiste et signe “bullshit”



    -&gt; dans la tete des gens il en remet une couche sur le coté “on gere”



  4. Et enfin … en tout discret… NXi dit que il a tenté de reproduire la faille.





    Tout ça alors que quand on lit les commentaires de JB on comprend parfaitement qu’en fait c’est:



  5. un kidam dit qu’il a trouvé une faille, remonte ça comme un porc, contacte la presse, le FBI et compagnie, bref il sonne la 3eme guerre mondiale sans trop de raisons.

  6. VideoLan tente de reproduire, mais n’y parvient pas

  7. VideoLan prend contact avec le kidam, qui ne répond pas.

  8. JB qui reçoit 10 messages du style par jour cloture le bouzin 4 semaines (si j’ai bien suivi) apres l’ouverture de tout ce ramdam, pas content, comme on peut tout a fait l’imaginer





    Alors je pense que c’est la façon dont est rédigé l’article qui fait penser ça.

    Ca aurait été mieux expliqué dans l’article y aurait pas eu débat….





    Comme d’habitude sur Internet tout le monde monte sur ses grands chevaux en fait … d’un coté comme de l’autre



morlog, je crois que tu as bien résumé la situation.



Encore un fois, mieux vaut vérifier plusieurs fois une information avant de la commenter.








morlog a écrit :



Je crois surtout que ce qui dérange certains c’est la façon dont sont présentées les choses chronologiquement.



Grosso modo quand on lit l’article il est dit:




  1. Un kidam quelconque dit avoir trouvé une faille, il a ouvert des tickets etc…



    -&gt; dans la tete des gens il a fait ce qu’il fallait, puisque le contraire n’est pas dit.



  2. JB, président de VideoLan a fermé les tickets en disant “c’est pas nous c’est l’autre”



    -&gt; dans la tete des gens il se cache derrière son petit doigt et semble arrogant genre “nous on gère on ne fait pas de failles”



  3. contacté par NXi il persiste et signe “bullshit”



    -&gt; dans la tete des gens il en remet une couche sur le coté “on gere”



  4. Et enfin … en tout discret… NXi dit que il a tenté de reproduire la faille.





    Tout ça alors que quand on lit les commentaires de JB on comprend parfaitement qu’en fait c’est:



  5. un kidam dit qu’il a trouvé une faille, remonte ça comme un porc, contacte la presse, le FBI et compagnie, bref il sonne la 3eme guerre mondiale sans trop de raisons.

  6. VideoLan tente de reproduire, mais n’y parvient pas

  7. VideoLan prend contact avec le kidam, qui ne répond pas.

  8. JB qui reçoit 10 messages du style par jour cloture le bouzin 4 semaines (si j’ai bien suivi) apres l’ouverture de tout ce ramdam, pas content, comme on peut tout a fait l’imaginer





    Alors je pense que c’est la façon dont est rédigé l’article qui fait penser ça.

    Ca aurait été mieux expliqué dans l’article y aurait pas eu débat….





    Comme d’habitude sur Internet tout le monde monte sur ses grands chevaux en fait … d’un coté comme de l’autre





    Oui, clairement. Les développeurs ont bien vite compris, et les non informaticiens n’ont rien capté du tout ^^ (j’dis pas ça pour me moquer des gens qui n’y connaissent rien en informatique hein)









Haseo a écrit :



Et qui utilise XP SP3 ? …





Moi. Sur une machine non connectée pour ma fille de 5 ans. :français:



moi aussi j’ai tické, il faut voir les derniers commit …








Commentaire_supprime a écrit :



Si tu es chez Free, la réponse est évidente, et VLC n’y est pour rien.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Et si t’es sous Debian en version 0.90a en plus….. <img data-src=" />









Kenshin83 a écrit :



à ce sujet, je suppose que VLC sur Windows RT c’est un peu mort :/ ? (c’est pas une critique, je sais qu’il y avait des soucis pour le développer et vu que maintenant RT est plus ou moins mort ça paraît logique)







Non, c’est pas mort du tout.







jacklejack a écrit :



Ah mon dieu je viens de tester et ça marche nickel. Enfin ^^

Testé avec le live de France24, j’ai une qualité merdique et je trouve pas de moyen de switcher. J’ai tenté les vq=hd1080 dans l’url ou encore le fmt=22 mais ça ne change pas.

Testé avec un épisode de Cyanide & Happiness et là j’ai du 720 direct !



J’imagine que cela dépend du réglage de la vidéo youtube.

En tout cas, super travail !







Certaines video Youtube sont en DASH en haute-qualité, avec une extension qu’on supporte pas.







marquis a écrit :



D’ailleurs, j’aurais une petite question à JB ou même la rédaction.



Partout, on parle de Thomas Nigro comme une personne “se présentant comme développeur de VLC pour Windows”.



Il est développeur VLC ou pas, parce que la formulation met un peu le doute quand même.







Un mec qui contribue à VLC est développeur VLC. Des gens qui contribuent, il y en a des centaines par an. Thomas est le plus gros contributeur de la version Metro/WindowsPhone.







eliumnick a écrit :



Sinon, j’ai constaté que VLC avait des soucis pour lire les bande son en PCM en 24bits 48khz. Problème connu ?





Non. Essaye la 2.2.0-rc2 ou la 3.0.0









yverry a écrit :



moi aussi j’ai tické, il faut voir les derniers commit …





Pour moi je le comprend comme ça.

Le bug n’est pas un bug de vlc mais d’une librairie extérieur et vlc compense et empêche la réalisation du bug.

si un autre lecteur vidéo utilise cette librairie le bug est toujours actif.

donc bien loin d’être un bug de vlc, au contraire vlc te protége



je sais pas si je suis clair….









jb a écrit :



Non, reporter un bug gentillement, c’est le faire selon la procédure, c’est à dire, pas par le bug tracker.



Mais ça fait des semaines que tout le monde s’y intéresse. Tu crois que les gens font quoi?



WinDbg, gdb, machines VM et physique sous XP. Personne n’a eu le crash ci-dessus.

Sache aussi que WinDbg a toujours galéré, vu qu’on compile avec gcc.



Tu as des liens sur les essais de toutes ces personnes ? les tickets sont muets à ce sujet.









jb a écrit :



Non. Essaye la 2.2.0-rc2 ou la 3.0.0





Ok. Du coup j’aurais pas du convertir cette bande son ni supprimer la version PCM <img data-src=" />

Pour info il s’agit de Le.Tombeau.des.Lucioles.1988.MULTi.1080p.BluRay.PCM.x264-ATeR.mkv.



C’est sur les logs IRC et les mls privées. Pour éviter justement les souci dans la nature.



[email protected] est le contact de sécurité.


J’en profite que JB soit parmi nous, tu pourrais nous donner des news d’un retour de VLC sur iPad ?



&nbsp;Non parce que trouver un logiciel (même en payant), qui arrive à la cheville de VLC (notamment pour la lecture d’un flux en streaming) c’est peine perdue :‘(


Entre autre.

Cela fait quand même quelques temps que Monsieur Kempf nous fait l’honneur de sa présence sur PCI <img data-src=" />


Je sais, on en avait déjà parlé y’a un moment ;)



Remarques, vous pouvez le faire, avec dans le code &nbsp;le commentaire associé “backdoor pour X” ^^


Y’en a qui appelent ça “chocolatine” et ils sont franchement intégristes !



J’ai failli me faire tabasser pour une histoire de viennoiserie &nbsp;un jour par une brute épaisse… une fille&nbsp;








asmrct a écrit :



J’en profite que JB soit parmi nous, tu pourrais nous donner des news d’un retour de VLC sur iPad ?



 Non parce que trouver un logiciel (même en payant), qui arrive à la cheville de VLC (notamment pour la lecture d’un flux en streaming) c’est peine perdue :‘(







Infuse?



Sinon, on attend le feu vert d’Apple…



dans quel but ? Savoir si le gars/la fille lit un fichier video/audio d’engagement pour l’EI ou des mêmes des vidéos pédophile ?








athlon64 a écrit :



dans quel but ? Savoir si le gars/la fille lit un fichier video/audio d’engagement pour l’EI ou des mêmes des vidéos pédophile ?





Bah ouais! Attend c’est important! Il faut savoir ce que les gens disent/lisent/regardent/écoutent, au cas ou l’un d’entre eux pourrait ne pas condamner ces monstrueux terroristes ^^



Ah non, commence pas a devenir un dictateur !! <img data-src=" />





<img data-src=" />


Infuse ne supporte pas l’ouverture d’un flux tout bête enhttp://xxx.mkv ce qui est pourtant bien pratique dans mon utilisation perso avec une seedbox. Peut-être est-ce une limitation due à iOS, je ne sais pas…








athlon64 a écrit :



Ah non, commence pas a devenir un dictateur !! <img data-src=" />





<img data-src=" />





Ben pourquoi ?? C’est bien la dictature&nbsp;<img data-src=" /> Enfin seulement quand c’est toi le dictateur <img data-src=" />



j’ai pas le charisme, ni de moustache <img data-src=" />








eliumnick a écrit :



Ben pourquoi ?? C’est bien la dictature <img data-src=" /> Enfin seulement quand c’est toi le dictateur <img data-src=" />







Dictature =&gt; Ferme ta gueule

Démocratie =&gt; Cause toujours



<img data-src=" />



au moins dans le premier cas, t’es pas pris pour un con, on te le dit cash. La seconde on te fait miroiter, pour mieux t’entuber (corrélation avec la comparaison entre la facon de faire de JB et celle de grosses boites ? <img data-src=" />) <img data-src=" />



@jb : j’ai rien contre la facon de communiquer, bien au contraire, au moins on sait ce qu’il en est, sans superflus et sans faire miroiter quoi que ce soit. Vive le Cone ! (manque un emoticone représentant un cone, on a deja :harou:) <img data-src=" />


Condoléances ^^



Mais du coup il faut reconnaître que le risque de tomber accidentellement sur un fichier piégé est super faible, de même que les conséquences potentielles sont super limitées par le fait qu’il soit déconnecté.


Sinon, soutenez VLC, la Référence en matière de lecture multimédia !



#JesuisunCônedeChantier



(Ben oui, c’est vendredi, et je pars en RTT pour faire le ménage chez moi)



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />








jb a écrit :



Mais le mec a été contacté 20 fois.



Franchement, avant de l’ouvrir et de faire la morale, renseigne toi.





Autant c’est à mon avis une histoire qui a beaucoup d’attention pour pas grand chose, autant on sent que c’est quand même une histoire ou le self control est difficile à garder <img data-src=" />



Un <img data-src=" /> pour JB, histoire de le calmer !



<img data-src=" /><img data-src=" />







the_Grim_Reaper a écrit :



Y’en a qui appelent ça “chocolatine” et ils sont franchement intégristes !



J’ai failli me faire tabasser pour une histoire de viennoiserie &nbsp;un jour par une brute épaisse… une fille&nbsp;





Shame on You <img data-src=" />

Moi j’ai vécu un peu partout en France, donc j’ai l’habitudes des deux façon de dire ^^ et quand je suis pas sûr, je montre du doigt “j’aimerais ça s’il vous plais, oui voilà. Comment ? Ah oui j’avais oublié, merci ^^”



Je passe pour un con, mais je risque pas ma vie <img data-src=" />



VLC étant open-source, si tu change une virgule dans le comme, tu peux te présenter dev de VLC. en théorie c’est vrai. en pratique, moins.

maintenant je connais pas le travail du monsieur, il a certainement fait plus que changer une virgule! <img data-src=" /> (et windows RT c’est sûrement un gros boulot d’intégration!!!)


plus gros contributeur pour Windows( Phone) de ce qu’a dit JB un peu plus haut <img data-src=" />








jb a écrit :



Un mec qui contribue à VLC est développeur VLC. Des gens qui contribuent, il y en a des centaines par an. Thomas est le plus gros contributeur de la version Metro/WindowsPhone.





Merci pour la réponse.

C’est la façon dont il est présenté dans les médias qui me faisait tiquer.



sérieusement tu me sors un truc pareil ?

&nbsp;

Je comprends mieux les réactions de jb si les failles de sécu viennent de personnes du même acabi.



Une backdoor dans un soft c’est pas juste le soft qui trinque, mais tout l’écosystème derrière, mais bon, pour comprendre ça,.

Autre contexte&nbsp;faudrait-il encore se poser la qeustion “si j’ai une fuite dans mon sous sol, qu’est ce qui se passe /peut se passer?”

Et de ce dire :




  • innondation du sous sol,

  • électrocution,

  • faire cramer la maison parce que c’est une vieille installation électrique rafistollée,



    &nbsp;








jb a écrit :



Non, reporter un bug gentillement, c’est le faire selon la procédure, c’est à dire, pas par le bug tracker.






??? c'est nouveau ça ... si vous avez un bug, prière de ne pas utiliser le bug tracker .. même si on vous dit de le faire :&nbsp;https://wiki.videolan.org/Report\_bugsSinon, ben c'est sympa de préciser que vous avez bossé à fond dessus, mais ne pas interagir sur le tracker pour rapporter que vous tentez au moins de reproduire/bossez sur le truc ... ça donne qu'on voit un trou de 2 semaines entre la communication des fichiers et l'update avec numéro cve.. qui entraîne là une réponse sous 2 jours ... C'est tout ce dont on peut être sûrs en fait, le reste on te croit sur parole.








Tim-timmy a écrit :



??? c’est nouveau ça … si vous avez un bug, prière de ne pas utiliser le bug tracker .. même si on vous dit de le faire : https://wiki.videolan.org/Report_bugs







Les procédures de sécurité sont toujours différente pour tous les softs.



Un bugtracker est public, pas les contact de security.









jb a écrit :



Un expert qui ne produit:

pas de backtrace reproductible,

pas de bug exploitable,

pas de crash,

pas d’erreurs dans le code,

des samples qui ne crashent pas,

?



C’est ce qu’on appelle du vent ou du FUD.





On peut aussi parler d’expert…



… d’expert politique plus exactement. <img data-src=" />



&nbsp;<img data-src=" />



c’était qu’une simple question, rien de plus.



Je ne m’y connais pas assez (pour le moment ?) pour faire remonter ou deja même trouver des failles de secu, donc non je ne remonterai pas des bugs qui pourrait etre du a l’OS trop ancien ou a une librairie simplement utilisée mais pas dev par VideoLAN



Je sais bien que le but d’un backdoor n’est pas simplement le logiciel impacté, mais ca pourrait deja donner pas mal d’infos un lecteur multimedia. Surtout vu sa popularité








jb a écrit :



Non, c’est pas mort du tout.





ah bon ? Et vous avez une visu pour une dispo sur le store ?



Merci pour ces réponses !



&gt;- faire cramer la maison parce que c’est une vieille installation électrique rafistollée,



C’est pas beau de parler de Windows XP comme ça … <img data-src=" />


Il faut qu’on porte notre code de Direct2D à Direct3D pour fixer un souci de driver de la surface RT2. Ensuite, ça va rouler jeunesse :)


En Belgique, chez le FAI Belgacom, les vidéos Youtube proviennent d’un cache Belgacom. VLC n’arrive donc pas à les lire. Solution : passer l’URL de Youtube en https. Peut-être est-ce pareil chez ton fournisseur d’accès.


https://fr.wikipedia.org/wiki/Libavcodec

Par contre, ce que l’article français ne dit pas (contrairement à celui en anglais :https://en.wikipedia.org/wiki/Libavcodec ), c’est qu’il existe aussi une autre version développée par un autre projet.


&nbsp;ETK, moi j’ai un bug avec VLC 2.1.5.&nbsp; Depuis que j’ai installer cette version depuis le premier jour, chaque fois que je ferme le lecteur, j’ai un message d’erreur de window que l’application a fait une opération non conforme. J’ai pourtant aucun problème sur mes 2 autre ordinateur.



A part ce petit problème, j’aime énormément ce lecteur :)


Moi j’ai un problème avec VLC sous Windows.

http://acidcow.com/pics/20141201/acid_picdump_30.jpg

&nbsp;


Anéfé, c’est un beau crash !



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


Vu du côté d’un non informaticien, c’est le discours de jb qui me semble cohérent : quand on dit publiquement que qqun fait de la merde, on le prouve, ou bien on est soi même un gros merdeux….



Dans un registre plus confidentiel, j’installe des machines industrielles et mes “utilisateurs” me remontent souvent des problèmes….

Et t’as toujours un connard qui dit “ca marche pas”, en inondant mon chef et la terre entière de mails à la con, sans preuves, sans contexte, sans explication, rien.

Et quand on va sur la machine constater que c’est juste un connard avec deux mains gauches et pas de cerveau qui fait tout un ramdam pour rien alors que tout marche très bien, t’as juste envie de le tuer après lui avoir chié dans la bouche, au gars en question…



GG jb. Et continue de dire aux abrutis que ce sont des abrutis, cah et sans detour inutile… Marre de ce monde policé de merde où toute forme de sincérité crue est prise pour une aggression…








geekounet85 a écrit :



VLC étant open-source, si tu change une virgule dans le comme, tu peux te présenter dev de VLC. en théorie c’est vrai. en pratique, moins.

maintenant je connais pas le travail du monsieur, il a certainement fait plus que changer une virgule! <img data-src=" /> (et windows RT c’est sûrement un gros boulot d’intégration!!!)





Oui généralement lui et Hugo Beauzée-Luyssenfont plus qu’ajouter des virgules <img data-src=" />



Si j’ai bien vu, la reproduction n’a été faite que sur Windows XP qui n’est plus supporté…Sujet clos…

Il est impossible de garantir une application sur un OS non supporté car si il y a un bug sur l’OS, l’éditeur de l’application ne pourra de toutes façons rien faire (ou presque)

Un peu facile, cette remontée, dans ce cas, je vais tester VLC sur Windows 3.1 et dire que ça ne marche pas.

Et effectivement, sans trace, on ne peut pas faire grand chose, un dump du process VLC quand le problème arrive aurait permis de pointer de où vient le problème.

Et il n’y a pas besoin d’être expert pour générer un dump…


Ah, merci de l’astuce :)








Drepanocytose a écrit :



GG jb. Et continue de dire aux abrutis que ce sont des abrutis, cah et sans detour inutile… Marre de ce monde policé de merde où toute forme de sincérité crue est prise pour une aggression…







Attends, t’as pas le mieux….







sepas a écrit :



Si j’ai bien vu, la reproduction n’a été faite que sur Windows XP qui n’est plus supporté…Sujet clos…







En fait, il ne l’a reproduis que dans une VM Windows XP. Et de ce que je comprends, c’est un crash dans une déallocation mémoire de son driver GPU de sa VM… À confirmer, mais bon.



Ca sent bien le vécu … et j’ai un peu le même vécu&nbsp;<img data-src=" /><img data-src=" /><img data-src=" />


Je sais qu’on entend souvent les gens pas content alors je te dis un grand merci a toi et a l’equipe pour VLC, je l’utilise tout les jours, sur mon telephone et mes pcs et c’est vraiment genial, merci :)








jb a écrit :



En fait, il ne l’a reproduis que dans une VM Windows XP. Et de ce que je comprends, c’est un crash dans une déallocation mémoire de son driver GPU de sa VM… À confirmer, mais bon.





Si jamais, j’ai posté dans le ticket trac #13390 … J’ai constaté la même chose sous Windows 7 x64. VLC 2.1.5 x86 ne crash pas, mais il y a bien un problème <img data-src=" />

Ce n’est pas un problème de driver GPU (driver nvidia 340.62 ….)









gooze74 a écrit :



Si jamais, j’ai posté dans le ticket trac #13390 … J’ai constaté la même chose sous Windows 7 x64. VLC 2.1.5 x86 ne crash pas, mais il y a bien un problème







Si ça crashe pas, je vois pas très bien où est le souci.









jb a écrit :



Si ça crashe pas, je vois pas très bien où est le souci.





Ben il y a un buffer overflow qui réécrit le pointeur de fonction :

void (pf_destroy)( picture_t ); dans la structure picture_t. Cette fonction est appelé dans picture_Release et permet en effet d’exécuter du code arbitraire …&nbsp;



J’ai même posté un minidump Windows avec cette situation … De toute évidence, le chercheur turc ne sait pas trop ce qui se passe dans le code, hormis les outils d’analyses qui lui notifient ce problème. Si j’active le PageHeap checking avec GFlags, VLC x86 crash royalement avec cette vidéo.

Maintenant si la politique de l’autruche est aussi valable dans l’open source, m’en voilà ravi !! Avec le code source à dispo, j’imagine même pas ce qui peut advenir. Parce que dire qu’il n’y a aucun soucis mais qu’il est corrigé dans la 2.2.0 RC2, cela me rappelle exactement ce qu’on dit à un client pour faire passer la pilule. De plus, quand on regarde la fonction picture_Release dans le master, cela fait sourire quand on voit la tentative de multiples assert pour corriger un problème de design…

&nbsp;