MPlayer i jego dokumentacja są dostępne w wielu językach. Niestety nie wszystkie tłumaczenia są w dobrym stanie. Wiele jest nieaktualnych i niepełnych. Dlatego też potrzebujemy twojej pomocy, żeby je reanimować. Zostanie tłumaczem kosztuje bardzo niewiele i jest wspaniałym sposobem pomagania w rozwoju wolnego oprogramowania. Mały wysiłek z twojej strony, bez konieczności posiadania jakichkolwiek umiejętności programistycznych, może wiele zmienić.
Jeżeli sprawdzisz naszą stonę z dokumentacją (En) zobaczysz, które tłumaczenia są niepełne, nieaktualne, potrzebujące pomocnej dłoni albo których dotyczą wszystkie wymienione problemy. Jeżeli chcesz nam pomóc z tłumaczeniami, przeczytaj translation HOWTO (En) i przyłącz się do dwóch list dyskusyjnych: MPlayer-DOCS i MPlayer-translations.
Tłumaczenie MPlayera oprócz dokumentacji dotyczy też komunikatów konsolowych i komunikatów GUI. Istnieją tłumaczenia bułgarskie, czeskie, niemieckie, duńskie, greckie, hiszpańskie, francuskie, węgierskie, włoskie, japońskie, koreańskie, macedońskie, holenderskie, norweskie, polskie, portugalskie brazylijskie, rzymskie, rosyjskie, słoweńskie, szweckie, tureckie, ukraińskie, tradycyjne chińskie i uproszczone chińskie. Większość z nich jest również nieaktualna i potrzebująca uaktualnienia.
Eksperymentalne kompilacje nowego GUI dla Windows można znaleźć na stronie pobierania. Życzymy miłego używania i prosimy, żebyś przekazał tą informację używającym Windowsa znajomym.
Minął ponad rok od ostatniego wydanie i tak, ciągle żyjemy! Tak jak zawsze, długość listy zmian jasno pakazuje, że byliśmy zbyt leniwi, żeby zrobić nowe wydanie, ale nie byliśmy zbyt leniwi żeby programować.
Na początek, odkryliśmy kilka nowych błędów bezpieczeństwa w kodzie AVI, Real i MOV, więc zachęcamy cię do jak najszybszej aktualizacji.
Biorąc pod uwagę jak stare jest już pre7, aktualizacja jest mocno zalecana. Użytkownikom zalecamy również testowanie i używanie wersji z Subversion, gdy tylko to możliwe, po to, aby osiągnąć obustronną korzyść z najnowszych ulepszeń i raportów/poprawek błędów. W przeciwieństwie do używania rozwojowych wersji jądra, nie zniszczy to twoich danych ani nie sprawi, że twój kot zajdzie w ciąże, ale pomoże nam poprawić ogólną jakość MPlayera.
Z pośród wielu dokonanych zmian, warto zwrócić uwagę na to,
że libavformat obsługuje teraz więcej rodzajów plików.
Jeżeli miałeś problemy z odtwarzaniem niektórych plików, spróbuj
użyć demuksera z libavformat (-demuxer lavf).
Również MEncoder korzysta z usprawnień w libavformat, np. po to,
żeby tworzyć pliki Flash wideo.
Ulepszono również dekoder H.264 mających na celu jego znaczne przyspieszenie i uczynienie go bardziej odpornym na błędy. Obsługiwana jest większa liczba kodeków audio i wideo. Synchronizacja Audio/Video dorobiła się dalszych usprawnień, szczególnie w przypadku Vorbis i strumieni Real.
A to jeszcze nie wszystko! Mamy wciąż parę asów w naszych rękawach dla nadchodzącej wersji MPlayera: eksperymentalną obsługę DVDnav (menu DVD) i eksperymentalny graficzny interfejs użytkownika (GUI) dla wersji pod Windows. Przyłącz się do testowania tych możliwości po to, żeby nie zostały one tylko eksperymentalne;-).
MPlayer 1.0pre8 można pobrać z poniższych miejsc. Prosimy o bycie miłym dla naszych serwerów i użycie jednego z naszych wielu serwerów lustrzanych.
MPlayer 1.0pre8 jest również dostępny za pośrednictwem protokołu BitTorrent.
MD5SUM: f82bb2bc51b6cd5e5dd96f88f6f98582
Konwersja z CVS na Subversion została w końcu zakończona. Dostęp do repozytorium Subversion możliwy jest poprzez
svn checkout svn://svn.mplayerhq.hu/mplayer/trunk/
lub przez www. Rozwój będzie teraz kontynuowany przy użyciu techniki kontroli wersji nowej generacji.
Nasz stary serwer mphq umarł w piątek po południu. Prawdopodobnie już nie wróci.
Chociaż wiele usług było już przeniesionych na nowy serwer natsuki, repozytoria CVS i listy dyskusyjne nadal działały na starej maszynie.
System pocztowy został skonfigurowany w mgnieniu oka (dzięki naszemu zespołowi administratorów) i listy od poniedziałku znów są on-line. Serwer CVS nie będzie przenoszony. Konwertujemy repozytoria do Subversion (zgodnie z wcześniejszym planem) i dalszy rozwój będzie przebiegał przy użyciu Subversion. Zajmie to jednak trochę czasu. Na pierwszy ogień pójdzie FFmpeg (testowe repozytorium jest już dostępne dla deweloperów), a następnie MPlayer.
Dostępne są ostatnie migawki CVS MPlayera i FFmpeg. [usunięto migawki, pobierz MPlayera i FFmpeg przy użyciu Subversion]
Cruocitae przeprowadził dla serwisu http://itreviews.blogspot.com/ wywiad z Aleksem, Odedem i mną. Aby zajrzeć w głąb naszych umysłów, przeczytaj wywiad.
Stoisko multimedialne na LinuxTag powoli staje się instytucją. Jeśli zdecydujesz się odwiedzić w tym roku Wiesbaden, możesz tu spotkać członków ekip MPlayera i FFmpega.
W tym roku spróbujemy naprawić odtwarzanie dowolnej popsutej próbki, którą przyniesiecie do naszego stoiska. Jeśli masz plik sprawiający kłopoty, przynieś go do nas, a my go sklasyfikujemy i spróbujemy znaleźć poprawkę i/lub obejście problemu. Nie obiecujemy sukcesu, ale zrobimy, co w naszej mocy.
Na LinuxQuestions.org właśnie zakończyło się głosowanie na laureata corocznej nagrody Members Choice i MPlayer zwyciężył w kategorii Aplikacja Multimedialna Wideo Roku.
568 osób (46.94%) głosowało na MPlayera. Drugie miejsce przypadło xine z 365 głosami (30.17%) a trzecie miejsce zajęło VLC ze 117 (9.67%).
Serdeczne podziękowania dla naszych licznych fanów.
Jeśli to czytasz, to znaczy, że nowy serwer obsługuje już strony WWW.
Z różnych przyczyn postawienie maszyny i przewiezienie jej do centrum kolokacyjnego zajęło nam znacznie więcej czasu, niż oczekiwaliśmy. Obecnie działają serwisy WWW oraz FTP, jak również eksperymentalne repozytoria Subversion. Prosimy jeszcze o uzbrojenie się w jeszcze odrobinę cierpliwości podczas gdy uruchamiamy sieć serwerów lustrzanych, przechodzimy z CVS na Subversion oraz przenosimy listy dyskusyjne.
Ponownie gorąco dziękujemy licznym ofiarodawcom którzy spełnili nasze życzenia.
W demukserze ASF znaleziono potencjalne przepełnienie bufora a dalsza analiza wykazała, że błąd znajdował się w kodzie ogólnego przeznaczenia w demuxer.h używanym do tworzenia i zmiany rozmiaru buforów. Oryginalny raport o błędzie można przeczytać tutaj media-video/mplayer ASF File Parsing Integer Overflow (CAN-2006-0579) w Bugzilli Gentoo.
Wysokie (zdalne wykonanie dowolnego kodu z uprawnieniami użytkownika uruchamiającego odtwarzacz) podczas odtwarzania pliku ASF ze złośliwego serwera, średnie (lokalne wykonanie kodu z uprawnieniami użytkownika uruchamiającego odtwarzacz) jeśli odtwarzany jest lokalnie odpowiednio spreparowany plik ASF. W chwili załatania błędu nie istniały znane exploity.
Poprawka tego problemu została zaaplikowana do CVS-u dnia Sun Feb 12 09:28:09 2006 UTC, a następnie rozszerzona w wersjach 1.89 and 1.90. Użytkownicy zagrożonych wersji MPlayera powinni ściągnąć łatkę dla MPlayera 1.0pre7try2 lub uaktualnić do najnowszej wersji jeśli używają CVS.
Uwaga: nie wydajemy w tym momencie uaktualnionej paczki tar z tą poprawką.
MPlayer 1.0pre7 jest bardzo stary, dlatego zachęcamy do uaktualnienia do
wersji CVS.
Jeśli musisz zostać przy 1.0pre7, ściągnij paczkę tar MPlayera 1.0pre7try2,
nałóż łatkę i przekompiluj MPlayera.
Jeśli udostępniasz binarne pakiety z MPlayerem, prosimy o nazwanie uaktualnionej
wersji MPlayer 1.0pre7try3.
MPlayer 1.0pre7, MPlayer 1.0pre7try2 i CVS przed Sun Feb 12 09:28:09 2006 UTC. Również i starsze wersje są prawdopodobnie podatne, jednak nie zostały sprawdzone.
CVS HEAD po Sun Feb 12 09:28:09 2006 UTC
MPlayer 1.0pre7try2 + łatka bezpieczeństwa
Z kolei na Węgrzech MPlayer nadal jest popularny i po raz trzeci z rzędu zdobył nagrodę Readers' Choice Award Węgierskiego Portalu Uniksowego (HUP) w kategorii "ulubiony odtwarzacz wideo roku".
MPlayer uzyskał 539 głosów (84%), plasując się przed VLC, 58 (9%) i zdobywcą drugiego miejsca z zeszłego roku xine, 42 (7%). Jeśli znacie węgierski, zajrzyjcie na stronę z nagrodami HUP.
Dobra wiadomość!
Wygląda na to, że popularność MPlayera nie maleje. Poinformowano nas, że TUX magazine ogłosił laureatów swojej pierwszej dorocznej nagrody Readers' Choice Award i MPlayer zwyciężył w kategorii Ulubiony Odtwarzacz Multimedialny.
Dziękujemy za Wasze wsparcie, naprawdę je doceniamy!
Istnieje błąd, który, w zależności od konfiguracji, może prowadzić do przepełnienia sterty. Nadal pozostaje dla nas niejasne, czy i w jakich okolicznościach istnieje możliwość jego wykorzystania. Wiemy o przynajmniej jednej osobie, która napisała działający na jej systemie exploit wykorzystujący plik AVI z nieskompresowanym audio PCM. Znaleźliśmy plik, który podobno to wykorzystuje, ale nie udało nam się tego dokonać. Mimo to, nie chcąc narażać Was na ryzyko, publikujemy tę informację bez dalszej zwłoki.
Poprawka tej luki została umieszczona w CVS w czwartek, 25 sierpnia 2005 o godzinie 19:46:20 UTC. Możecie ściągnąć łatkę dla MPlayera 1.0pre7 stąd.
Dodanie ac=-pcm, (uwaga na końcowy ',') do pliku konfiguracyjnego
jest szybkim obejściem, które powinno zapewnić bezpieczeństwo, o ile nie
użyjecie opcji -ac w linii poleceń. Uniemożliwi to jednak
odtwarzanie nieskompresowanego audio.
Przygotowaliśmy również nową paczkę tar dla wydania pre7 z zaaplikowaną powyższą poprawką. Proszę zauważyć, że nie jest to nowe wydanie MPlayera. Jeśli chcecie mieć wszystkie nowe możliwości dodane po pre7, powinniście użyć wersji CVS.
MPlayer 1.0pre7 i wcześniejsze
Jak dotąd jedyna wersja, dla której istnieje exploit to MPlayer
1.0pre7, jednak błąd jest obecny we wszystkich poprzednich wersjach.
MPlayer 1.0pre7try2 i późniejsze
CVS HEAD po Thu Aug 25 19:46:20 2005 UTC
MPlayer 1.0pre7try2 jest do ściągnięcia z poniższych lokalizacji. Prosimy o łagodne traktowanie naszego serwera i użycie jednego z wielu serwerów lustrzanych.
MD5SUM: aaca4fd327176c1afb463f0f047ef6f4
Po pierwsze, chcielibyśmy podziękować wszystkim darczyńcom za hojne datki, jakie otrzymaliśmy w ostatnich tygodniach. Nigdy nie wyobrażaliśmy sobie, że zbiórka odniesie taki sukces. Zamówiliśmy o wiele lepszy serwer niż planowaliśmy, co otwiera drogę do zaoferowania więcej i lepszych usług. Stać nas nawet na profesjonalny backup! Spodziewamy się dostawy serwera w ciągu czterech tygodni, jednak będziemy potrzebować kilku kolejnych tygodni na przetestowanie i konfigurację ustawień.
Listę darczyńców można znaleźć na stronie darowizny. Napisz do mnie, jeśli chciałbyś usunąć swoje nazwisko. W związku z warunkami przelewów bankowych, niektórych nazwisk brak lub mają literówki. Napisz, jeśli konieczna jest korekta!
Kolejne uaktualnienia zawierać będą szczegółowe informacje o sprzęcie i usługach. C.d.n.
Połączyłem kod VESA z MPlayera i MPlayeraXP. Po dodaniu paru narzędzi z svgalib i vbetool powstało vesatools. Poczynając od następnego wydania MPlayera, biblioteka ta będzie używana do wyświetlania wideo przez VESA. Dodano obsługę FreeBSD, NetBSD i OpenBSD.
Jak pewnie zauważyliście, mieliśmy awarię serwera spowodowaną awarią klimatyzacji. System plików serwera został uszkodzony, psując nasze repozytorium CVS. Zmusiło nas to w końcu, by poszukać innego rozwiązania hostingowego i być może unowocześnić przy okazji sprzęt. Mamy okazję postawić nasz serwer w prawdziwej firmie hostingowej z niezawodną klimatyzacją i zasilaniem, jednak mają oni miejsce tylko na obudowę 1U, podczas gdy nasza obecna to standardowa tower.
Istnieją trzy możliwości:
Po dogłębnej analizie naszych wymagań, wolelibyśmy kupić nowy serwer, który wystarczy na nadchodzące lata. Oferowano nam hosting wirtualny, jednak naprawdę potrzebujemy dedykowany serwer. Zauważcie też, że na tym samym serwerze utrzymywany jest projekt FFmpeg, a inne projekty, jak xine polegają na nas w kwestii dystrybucji paczek z kodekami, więc maszyna ta jest naprawdę centralą dla multimediów w wolnym oprogramowaniu.
Podczas LinuxTag otrzymaliśmy trochę darowizn by pokryć nasze koszty i zostało nam około 70EUR, jednak wystarczy to zaledwie na jeden dysk. Potrzebujemy zatem specjalnych zniżek, darowizn pieniężnych - lub lepiej - kompletnych konfiguracji (sprzętowych). Jeśli chodzi o darowizny pieniężne, to chcielibyśmy wydać całą sumę na serwer, by uniknąć problemu z pozostałymi pieniędzmi.
Ważne jest, aby na przelewie był dopisek MPlayer. Jeśli nie chcesz zobaczyć swojego nazwiska na liście darczyńców, dodaj jeszcze anonymous.
Opublikujemy raport o stanie finansów w ciągu miesiąca. Jeśli macie jakieś pytania, skontaktujcie się z nami poprzez listę dyskusyjną mplayer-dev-eng, IRC lub prywatnie.
Dysk z zawartością ftp (wersje MPlayera, paczki z kodekami, próbki, skórki, migawki CVS, ...) padł ponownie w poniedziałek i został wyłączony. Prosimy o używanie któregoś z mirrorów do ściągania MPlayera. CVS jest na innym dysku i jest nadal dostępny. Z powodu tej awarii, dokumentacja online jest niedostepna. Prosimy korzystać z dokumentacji dołączonej do źródeł MPlayera. Katalog incoming też odszedł w niebyt.
Open Source Press wydało antologię o wideo pod Linuksem. Daje ona dobre pojęcie o bieżącym stanie rzeczy, opisując w 19 rozdziałach takie aspekty wideo, jak odtwarzanie, edycję i strumieniowanie, w każdym z nich albo opisując oprogramowanie linuksowe je umożliwiające, albo wprowadzając w wielorakie techniczne kwestie związane z wideo. Wszyscy autorzy poszczególnych rozdziałów są albo członkami zespołów tworzących oprogramowanie, o którym piszą lub też są z nimi blisko związani. Niżej podpisany napisał - niespodzianka - rozdział o MPlayerze. Wstęp i spis treści są dostępne online. Książka jest obecnie dostępna jedynie po niemiecku.
Doprawdy oszałamiającą większością Parlament Europejski odrzucił w zeszłym tygodniu proponowaną dyrektywę o patentach na oprogramowanie Jest to wielkie zwycięstwo dla ruchu przeciwników patentów na oprogramowanie i ulga dla wolnego oprogramowania oraz całego przemysłu software'owego w Europie i na świecie. Ja i inni członkowie zespołu MPlayera, którzy aktywnie lobbowali przeciwko patentom na oprogramowanie odczuwamy z tego powodu wielką osobistą satysfakcję. Cieszmy się i radujmy, gdyż jest to istotnie wielki dzień.
Niemniej jednak nie wszystko złoto, co się świeci i mimo, że wygraliśmy ważną bitwę, wojna się jeszcze nie skończyła. W Europie nadal przyznanych pozostaje tysiące patentów na oprogramowanie. Kolejne próby rozszerzenia patentowalności na oprogramowanie będą teraz toczyły się w poszczególnych krajach i wrócą na poziom europejski za kilka lat. Musimy więc kontynuować nasza walkę by oddalić groźbę patentów na oprogramowanie całkowicie i na całym świecie. Potrzebujemy do tego pomocy wszystkich członków społeczności. To Wy musicie mieć oko na swoich polityków, informować ich, o co toczy się gra i upewnić się, że będą tworzyć sensowne prawo.
Znowu ta pora roku... Zespół MPlayera będzie obecny na LinuxTag 2005 zaludniając stoisko multimedialne. Roberto Togni, Alexander Strasser, Sascha Sommer, Dominik Mierzejewski, Reimar Döffinger, Diego Biurrun, Alex Beregszaszi, Luca Barbato będą obecni przez większość czasu, dołączą też do nich Mike Melanson (FFmpeg / xine) i Måns Rullgård (FFmpeg / tcvp).
LinuxTag odbywa się w niemieckim Karlsruhe od 22-go do 25-go czerwca. Jego mottem jest "Gdzie .com spotyka .org" i jest to połączenie targów z konferencją, w której uczestniczą zarówno firmy, jak i projekty wolnego oprogramowania. Wpadnij, jeśli chcesz z nami porozmawiać.
Wideo jest jednym z głównych punktów tegorocznego LinuxTagu. W czwartek oraz w piątek odbywać się będą konferencje poświęcone tematyce wideo. Prezentacje w czasie tych konferencji prowadzone będą w oparciu o antologię o wideo pod Linuksem wydaną przez Open Source Press. Diego Biurrun wygłosi w czwartek prezentację o MPlayerze w oparciu o napisany przez niego rozdział tej książki.
Pomimo patentowego Miecza Demoklesa, MPlayer jest ciągle żywy i właśnie przyszedł czas na nowe wydanie. Czy chcesz zobaczyć więcej wydań w przyszłości? Prosimy, przyłącz się do nas w walce przeciwko dyrektywie patentowej UE. Bitwa jeszcze się nie skończyła i wciąż możemy ją wygrać, jeśli i Ty nam pomożesz.
Po pierwsze, odkryliśmy kilka nowych luk bezpieczeństwa w kodzie odpowiedzialnym za strumieniowanie MMST i RTSP, więc zalecamy wam zainstalowanie nowej wersji.
Staramy się częściej publikować nasze wydania, dlatego też lista zmian nie jest tak duża jak w przypadku pre6, ale i tak jest długa. Warte uwagi usprawnienia zostały niedawno wprowadzone do MEncodera. Może produkować wyjście w postaci plików MPEG, które mogą później posłużyć do utworzenia płyt (S)VCD i DVD. Obsługa jeszcze większej liczby formatów kontenerowych została eksperymentalnie dodana do libavformat i teraz możesz kodować kilka plików naraz. Jeżeli nie korzystałeś z MEncodera nigdy wcześniej, teraz jest najwyższa pora, aby zacząć, ponieważ znacznie uzupełniliśmy i poprawiliśmy dokumentację.
Dodaliśmy więcej kodeków, niektóre natywne - wartym wspomnienia jest ALAC (Apple Lossless Audio Codec), a niektóre obsługiwane przez biblioteki binarne - godnymi wspomnienia są TwinVQ (VQF) i VMware video. Co więcej, importowaliśmi dekoder Tremor Ogg/Vorbis do MPlayera, więc pliki Ogg i Vorbis będą teraz działały bez pomocy zewnętrznych bibliotek. MPlayer powinnien odtwarzać teraz jeszcze więc formatów niż we wcześniejszych wydaniach. Żeby w pełni wykorzystać wszystkie nowości, należy zainstalować najnowszy pakiet kodeków.
Snow - kodek obrazu nowej generacji oparty o falę wavelet (fala ograniczona częstotliwością i czasem trwania) został poprawiony i w znaczący sposób przyspieszony. Dodatkowo dodaliśmy do niego krótką dokumentacja. Wypróbujcie go i pobawcie się nim, tylko pamiętajce jest on na razie w fazie eksperymentalnej i to co zakodujesz dzisiaj może nie być odtwarzane jutro.
Wyczyściliśmy dużo kodu dotyczącego warstwy dźwiękowej. Tym co się rzuca w oczy, jest usunięcie starych wtyczek audio, które od dawna były zastąpione przez filtry dźwiękowe.
Na koniec warto dodać, że poprawiliśmy wszędzie wiele błędów, więc MPlayer powienien działać lepiej niż kiedykolwiek.
A teraz ciesz się oglądaniem filmów ...
Zapomnieliśmy wspomnieć, że dodaliśmy przełączanie ścieżki audio w czasie odtwarzania, co było jedną z najbardziej pożądanych funkcji od wieków. Działa na razie tylko dla Matroski i MPEG i jest wciąż eksperymentalne, ale to już coś. Aby wypróbować tę funkcję, naciśnij klawisz "#" podczas odtwarzania pliku z wieloma ścieżkami audio.
MPlayer 1.0pre7 może być pobrany z poniższych lokalizacji. Proszę, bądźcie litościwi dla naszego serwera i skorzystajcie z jednego z serwerów lustrzanych.
MD5SUM: 5fadd6957d3aab989cd760ff38fb8fdf
Potencjalne przepełnienie sterty zostało odnalezione i naprawione w kodzie wykorzystywanym do obsługi strumieni MMST.
Wysoka (zdalne wykonanie dowolnego kodu na prawach użytkownika uruchamiającego odtwarzacz) podczas strumieniowania danych MMS/TCP z odpowiednio spreparowanego serwera, żadna jeżeli nie korzystasz z tej opcji. Na chwilę obecną nie ma żadnego znanego exploita.
Podczas odbierania strumienia z serwera, kod MMST przechowuje wszystkie znaczniki ID w tablicy o stałym rozmiarze, ale nie ma żadnego mechanizmu przerywającego ten proces, jeżeli zostanie odebranych za dużo tych znaczników. Specjalnie spreparowany mógłby wysłać ponad 20 strumieni i tym samym przepełnić tablicę.
Poprawka tej luki została umieszczona w repozytorium CVS MPlayera w piątek, 15 kwietnia 2005 roku o godzinie 23:31:57 czasu UTC. Użytkownicy narażonych wersji MPlayera powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre6 i wcześniejsze (włączając w to pre6a)
MPlayer 1.0pre7 i późniejsze
CVS HEAD po piątku, 15 kwienia 2005 roku po godzinie 23:31:57 czasu UTC
Potencjalne przepełnienie bufora zostało znalezione i naprawione w kodzie wykorzystywanym do obsługi strumieni RealMedia RTSP.
Wysoka (zdalne wykonanie dowolnego kodu z prawami użytkownika uruchamiającego odtwarzacz) podczas strumieniowania danych RTSP ze specjalnie spreparowanego serwera, żadna jeśli nie korzystasz z tej opcji. Na chwilę obecną nie ma żadnego znanego exploita.
Podczas odbierania linii od serwera, kod Real RTSP przechowuje je w tablicy o stałej liczbie elementów MAX_FIELDS, ale nie ma żadnego mechanizmu przerywającego ten proces, jeżeli odebrano zbyt wiele linii. Specjalnie spreparowany serwer mógłby wysłac więcej niż MAX_FIELDS linii i tym samim przepełnić tablicę. Jako, że tablica przechowuje wskaźniki do otrzymanych stringów, atakujący nie może w nich zapisać dowolnych danych, co czyni exploita jeszcze bardziej złożonym.
Poprawka tej została umieszczona w repozytorium CVS MPlayera w piątek, 15 kwietnia 2005 roku o godzinie 23:3:44 czasu UTC. Użytkownicy narażonych wersji MPlayera powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre6 i wcześniejsze (włączając w to pre6a)
MPlayer 1.0pre7 i późniejsze
CVS HEAD po piątku, 15 kwienia 2005 roku po godzinie 23:30:44 czasu UTC
Za nim ktoś wyciągnie złe wnioski...
Ostatnia seria raportów bezpieczeństwa opublikowanych dzisiaj dotyczy potencjalnych luk, które zostały zgłoszone i naprawione dawno temu, przyjrzyjcie się dokładnie datom.
Możecie winić mnie za lenistwo i nieopublikowanie tych raportów wcześniej, a nie załogę MPlayera za długi czas reakcji na odkryte luki.
Kilka potencjalnych przepełnień bufora zostało odnalezionych w mpg123 - bibliotece dekodującej MP3 dołączonej do MPlayera w katalogu mp3lib. Więcej szczegółów znajdziecie w raporcie dotyczącym mpg123.
Średnia (wykonanie dowolnego kodu z prawami użytkownika uruchamiającego odtwarzacz) podczas odtwarzania dźwięku w formacie MP3, jeśli da się wykorzystać przepełnienia do ataku. Nie jest jasne czy rzeczywiście tak jest. W chwili kiedy przepełnienia bufora zostały naprawione, nie były znane żadne exploity.
Poprawka tej luki została umieszczona w repozytorium CVS MPlayera we wtorek, 14 września 2004 roku o godzinie 21:02:19 czasu UTC. Użytkownicy narażonych wersji MPlayera powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre5 i wcześniejsze
MPlayer 1.0pre5try2 i późniejsze
Po zawiadomieniu o potencjalnych przepełnieniach bufora, poprawka została została włączona do repozytorium CVS MPlayera we wtorek, 14 września 2004 roku o godzinie 21:02:19 czasu UTC.
iDEFENSE znalazło dwa przepełnienia bufora w kodzie xine odpowiedzialnym za strumieniowanie PNM, dotyczy to również MPlayera. Szczegóły możecie znaleźć w raporcie iDEFENSE i raporcie xine.
Wysoka (zdalne wykonanie dowolnego kodu z prawami użytkownika uruchamiającego odtwarzacza) podczas odtwarzania strumieni PNM. W chwili, kiedy luka została naprawiona, nie były znane żadne exploity.
Poprawka tej luki została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 21:27:14 czasu UTC. Użytkownicy narażonych wersji MPlayera powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre5 i wcześniejsze
MPlayer 1.0pre5try2 i późniejsze
W piątek, 10 grudnia 2004 roku deweloperzy xine zostali powiadomieni przez iDEFENSE, które znalazło dwie zdalne luki przepełnienia bufora w kodzie strumieniującym PNM znajdującym się w xine. Kod ten jest współdzielony w MPlayerze i xine, dlatego też zespół xine poinformował nas o problemie, a łatka usuwająca lukę została włączona do repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 21:27:14 czasu UTC.
iDEFENSE znalazło błąd przepełnienia sterty w kodzie odpowiedzialnym za strumieniowanie RTSP. Szczegóły możecie znaleźć w raporcie iDEFENSE.
Wysoka (zdalne wykonanie dowolnego kodu z prawami użytkownika uruchamiającego odtwarzacz) podczas odtwarzania strumieni RTSP. W chwili kiedy luka ta została naprawiona, nie były znane żadne exploity.
Poprawka tej luki została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 18:16:24 czasu UTC. Użytkownicy narażonych wersji MPlayera powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre5 i wcześniejsze
MPlayer 1.0pre5try2 i późniejsze
W piątek, 10 grudnia 2004 roku deweloperzy MPlayera zostali powiadomieni przez iDEFENSE które znalazło lukę zdalnego przepełnienia sterty i kodzie odpowiedzialnym za strumieniowanie znajdującym się w MPlayerze. Łatka usuwająca błąd została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 18:16:24 czasu UTC.
iDEFENSE znalazło przepełnienie stosu w kodzie odpowiedzialnym za strumieniowanie MMST. Szczegóły możecie znaleźć w raporcie iDEFENSE.
Wysoka (zdalne wykonanie dowolnego kodu z prawami użytkownika uruchamiającego odtwarzacz) przy odtwarzaniu strumieni MMST. W chwili, kiedy luka została naprawiona, nie były znane żadne exploity.
Poprawka tej luki została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 19:12:46 czasu UTC. Użytkownicy narażonych wersji MPlayera powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre5 i wcześniejsze
MPlayer 1.0pre5try2 i późniejsze
W piątek, 10 grudnia 2004 roku deweloperzy MPlayera zostali powiadomieni przez iDEFENSE o znalezieniu luki przepełnienia stosu w kodzie odpowiedzialnym za strumieniowanie MMST. Łatka usuwająca błąd została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 19:12:46 czasu UTC.
iDEFENSE znalazło przepełnienie sterty w demukserze BMP. Szczegóły możecie znaleźć w raporcie iDEFENSE.
Teoretycznie demukser BMP jest kodem demonstracyjnym. Nie wiemy o żadnym wymagającym go formacie multimedialnym. W chwili, kiedy luka została naprawiona, nie były znane żadne exploity.
Poprawka tej luki została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 18:52:38 czasu UTC. Demukser bitmap nie jest w ogóle wykorzystywany, dlatego też został od razu usunięty. Użytkownicy narażonych wersji powinni natychmiast zaktualizować swoją wersję do nowszej, zawierającej już poprawki. Dostępna jest również łatka do zaaplikowania na źródła.
MPlayer 1.0pre5 i wcześniejsze
MPlayer 1.0pre5try2 i późniejsze
W piątek, 10 grudnia 2004 roku deweloperzy MPlayera zostali powiadomieni przez iDEFENSE, które znalazło lukę przepełnienia sterty w kodzie parsującym BMP znajdującym się w MPlayerze. Łatka usuwająca błąd została umieszczona w repozytorium CVS MPlayera w środę, 15 grudnia 2004 roku o godzinie 18:52:38 czasu UTC. Demukser bitmap został w celach demonstracyjnych i nie jest potrzebny do odtwarzania multimediów, dlatego też został natychmiast usunięty.
Z dumą ogłaszamy że LinuxQuestions.org przeprowadził swoje coroczne wybory Nagrody Czytelników i MPlayer został wybrany Video Multimedia Application of the Year (Multimedialną Aplikacją Video Roku).
MPlayer otrzymał 487 głosów (49.85%), pokonując xine z 304 (31.12%) i Totem z 77 (7.88%).
Hej, wygraliśmy nagrodę z Argentyny... Argentyńska witryna poświęcona oprogramowaniu Linuksowemu brokenbox.com.ar wybrała MPlayer'a 1.0pre6 "programa del mes" (programem miesiąca). Dziękujemy!
W archiwum z wersją pre6 MPlayera zabrakło dokumentacji w wersji HTML. MPlayer 1.0pre6a jest ponownie spakietowanym wydaniem MPlayer 1.0pre6 zawierającym już jednak brakujące dokumenty. Poza katalogiem DOCS/HTML, te dwa wydania są identyczne.
MPlayer i MEncoder jako numer wersji pokażą 1.0-pre6, ponieważ nie wprowadzono żadnych zmian w głównym kodzie.
Jeśli jeszcze nie pobrałeś pre6, ściągnij pre6a. Jeżeli nie jesteś zainteresowany dokumentacją lub zbudowałeś ją sobie ze źródeł XML, nie musisz pobierać nowej wersji.
MPlayer 1.0pre6a może zostać pobrany z podanego serwera.
MD5SUM: a812d945b884c2e2fa7f90c57cd76bff
Możecie wysłać do mnie kontenery z colą :-)
Minęło pięć miesięcy od ostatniego wydania, co widać. Jest to najdłuższa lista zmian w historii. Zamęczyliśmy nasze klawiatury. W końcu zdecydowaliśmy się to wydać i zrobić całemu światu prezent gwiazdkowy. Ponieważ święta są jutro, będziecie musieli poczekać jeden dzień z kompilacją. Otwieranie prezentów przed czasem nie podlega dyskusji! Bez podglądania, nie rozpakowujcie archiwów! Jeżeli przyślecie wcześniej zgłoszenia błędów lub komentarze, będziemy wiedzieli, że byliście niegrzecznymi dziećmi i otworzyliście prezenty przed czasem. Wiecie co spotyka niegrzeczne dzieci...
Najważniejszymi zmianami są obsługa prawie nieskończonej ilości nowych kodeków i ważne poprawki do niektórych starszych. Wspomnieć należy także o eksperymentalnym kodeku snow Michaela Niedermayer opartym o wavelet (od tłumacza: przebieg falowy ograniczony zarówno w częstotliwości i czasie trwania). Jest on bardzo obiecujący. Być może tak wygląda przyszłość kodowania video. Dodaliśmy także obsługę kodowania do H.264 z x264 oraz do MP2 przez toolame.
Na dodatek stało się niemożliwe i cały ogrom dostępnych opcji został w
końcu udokumentowany. Jeżeli nie możesz czegoś znaleźć w dokumetnacji, to
znaczy, że nie istnieje, więc RTFM! Jeżeli masz słabą maszynę
powienieneś się zainteresować dekodowaniem w niskiej rozdzielczości,
korzystając z libavcodec
(-vfm ffmpeg -lavdopts lowres=0-3).
Przy odrobinie szczęścia będziesz mógł odtwarzać filmy DVD i MPEG-4. Mac
OS X zyskał kilka miłych ulepszeń, między innymi związanych z VCD i
obsługą kodeka Real/Helix (pobierz nowe paczki z kodekami).
Dla Windows przygotpwaliśmy nowiutke wyjście audio DirectSound i obsługę
opcji -wid, która powinna pozwolić na budowę wtyczek do
przeglądarek. Jeżeli używasz serwera dźwięku polypaudio, to istnieje
teraz dla Ciebie moduł wyjścia audio. Pozostałe stare wtyczki audio
zostały przekonwertowane na filtry audio. Spodziewaj się zniknięcia
wtyczek audio w następnym wydaniu. Nie ma już starych sterowników
wyjścia audio alsa9 i alsa1x, użyj zamiast tego sterownika alsa.
Jak zwykle poprawionych zostało za dużo błędów, żeby o nich wspominać. Znajdują się one wszędzie, więc MPlayer powinien teraz działać płynniej i stabilniej niż przedtem. Wartym wspominienia jest to, że długość oraz pozycja są teraz wyświetlane również dla plików MOV. Wyjście MPlayera staje się coraz mniej gadatliwe.
Lista zmian zawiera zmiany od MPlayera 1.0pre5try2, więc wszystkie poprawki bezpieczeństwa są także uwzględnione.
Wesołych Świąt...
MPlayera 1.0pre6 można pobrać z następujących lokalizacji. Proszę bądźcie wyrozumiali dla naszego serwera i skorzystajcie z jednego z wielu serwerów lustrzanych.
MD5SUM: 4a628f87a7070e10ffea04a1598979a9
Wygląda na to, że dziś jest dzień nagród... Zostaliśmy właśnie powiadomieni, że MPlayer zdobył kolejną nagrodę. Tym razem od brazylijskiej społeczności linuksowej na br-linux.org, "Favoritos da Comunidade Livre brasileira em 2004" (Ulubione brazylijskiej wolnej społeczności w roku 2004) w kategorii "Visualizador de Vídeo" (odtwarzacz video) uzyskując 1395 głosów (48%), przed xine i Kaffeine.
Jeżeli znasz portugalski możesz więcej przeczytać na stronie nagród.
Mamy zaszczyt ogłosić, że MPlayer zdobył nagrodę czytelników węgierskiego portalu Uniksowego (Hungarian Unix Portal) w kategorii "ulubionego odtwarzacza video bieżącego roku", a także "ulubionego węgierskiego projektu bieżącego roku".
W kategorii odtwarzacza video MPlayer uzyskał 473 głosy (89%), xine 39 (7%) a VLC 10 (1%). MPlayer drugi rok z rzędu zdobył tę nagrodę. Jeżeli znasz węgierski, to możesz przeczytać o tym na stronie nagród HUP.
Liczne luki w MPlayerze zostały odkryte przez iDEFENSE, a wiele więcej zostało znalezionych podczas przeglądu kodu:
Dotyczy MPlayera 1.0pre5 i obecnych wersji z CVSu. MPlayer 0.93 jest przestarzały i nie był sprawdzany ani naprawiany. Wszystkie problemy zostały rozwiązanem a demukser BMP został wyłączony ponieważ jest bezużyteczny i wymaga dalszej analizy by być całkowicie bezpiecznym.
Aby być zabezpieczonym przed szkodami, użytkownicy MPlayera 1.0pre5 i wcześniejszych powinni dokonać aktualizacji do 1.0pre5try2 lub zaaplikować tę łatę zbiorczą na 1.0pre5, a w międzyczasie nie odtwarzać strumieni z sieci. Użytkownicy CVSu mogą po prostu wykonać 'cvs update'. Dostępna jest także wersja CVS dla użytkowników Windows.
Szczegółowe poradniki zostaną opublikowane później.
MPlayera 1.0pre5try2 można pobrać z następujących lokalizacji:
MD5SUM: 724c905a8dddb7e8ec9722fc585f833d
MPlayer otrzymał nagrodę Linux New Media Award 2004 w kategorii "Najlepszy odtwarzacz multimedialny". Konkurs jest organizowany przez Linux New Media AG Jury składa się z około 150 szanowanych członków społeczności.
MPlayer zebrał 29.8% głosów, wygrywając z xine (24.2%) i XMMS (23.4%) czyniąc to drugim z kolei zwycięstwem. Szczegółowe wyniki można znaleźć na niemieckiej stronie z nagrodami.
Załoga MPlayera będzie reprezentowana na SUCON '04 przynajmniej przez następujące osoby: Alex Beregszaszi, Roberto Togni, Jonas Jermann i Diego Biurrun. SUCON to szwajcarska konferencja uniksowa odbywająca się w dniach 2-4 września 2004 w Technopark, Zürich, Szwajcaria. Cytat ze strony domowej (tekst przetłumaczony na polski):
SUCON to wyłaniająca się konferencja zogniskowana na tematach związanych z Uniksowymi systemami operacyjnymi. Naszym celem jest zgromadzenie deweloperów, administratorów i użytkowników aby wesprzeć projekty, pomysły i wiedzę każdej jednostki.
Alex wygłosi w piątek przemówienie o MPlayerze, więc jeśli jesteś zainteresowany MPlayerem lub chciałbyś spotkać niektórych z nas, wpadnij jeżeli będziesz w pobliżu.
Obecni także będą: Mike Melanson z xine oraz Samuel Hocevar z VideoLAN. Także wygłoszą prelekcje oraz przeprowadzą w sobotę razem sesję multimedialną birds-of-a-feather.
Zostały udostępnione niektóre nagrane przemówienia. Znajdują się tam między innymi przemówienia, które wygłosili Mike Melanson oraz Alex Beregszaszi.
Jeden z twardych dysków w naszym serwerze nawala i musi zostać wymieniony. Ponieważ jest on częścią macierzy RAID1 (jej wydajność drastycznie spada, gdy używa się dysków o różnej geometrii), to potrzebujemy takiego samego modelu na wymianę albo dwóch nowych dysków IDE. Dysk to 40GB IDE IBM IC35L040AVER07-0.
Jeżeli masz taki napęd albo parę nowych na zbyciu lub chcesz nam je kupić, skontaktuj się z naszym adminem Arpadem Gereöffy i wyślij mu napęd..
Otrzymaliśmy DTLA305040 w darze od Stefana Seyfried (Dziękujemy!) a Sascha Sommer wymienił go na swój IC35L040AVER07, który teraz znajduje się w serwerze projektu. Dziękujemy także innym, którzy zaoferowali pomoc.
Znowu po długim opóźnieniu z dumą prezentujemy Wam nasze najnowsze wydanie. Włączono tony nowych cech oraz poprawiono tony błędów, wiele z nich w trakcie wielkiej sesji hackerskiej podczas LinuxTag 2004. Kolejka oczekujących łatek została bardzo skrócona i jak zwykle zamierzamy dokonać następnego wydania bardziej na czas ;-)
Poza zmianą nazwy najważniejszą zmianą jest audyt kodu zajmującego się ciągami. Przeczytaj stosowny poradnik. Dokonaj aktualizacji do pre5, jeżeli jeszcze nie dokonałeś aktualizacji do najnowszej wersji z CVSu.
Wśród ważnych zmian w tym wydaniu należy wymienić lepszą obsługę Max OS X oraz Windows, polepszone przewijanie w plikach Real, lepszą dokumentację MEncodera ze zaktualizowanym poradnikiem ripowania DVD, poprawki związane ze strumieniowaniem, naprawione błędy związane z trybem pełnoekranowym, nowy zunifikowany sterownik wyjścia audio ALSA ao_alsa zastępujący ao_alsa9 oraz ao_alsa1x, sterownik wyjścia audio JACK oraz nowe ikony do GUI i menu. Oczywiście zrobiliśmy także to co zawsze: obsługa nowych kodeków, nowe filtry wideo i naprawienie przeróżnych błędów.
Paczki z kodekami zostały zaktualizowane i teraz zawierają numery wersji. Możesz więc łatwo powiedzieć czy masz najnowszą paczkę, czy nie. Ściągaj, jeżeli jesteś zainteresowany pełną obsługą kodeków.
Miłej zabawy...
MPlayer 1.0pre5 można pobrać z następujących lokalizacji. Bądźcie życzliwi dla naszego serwera i skorzystajcie z jednego z wielu serwerów lustrzanych.
MD5SUM: fbe6919eb025526e8ed129cd61a49969
Jest to wydanie zawierające tylko poprawki związane z bezpieczeństwem w przestarzałej, stabilnej gałęzi. Zawiera prosty port poprawek dla najnowszych zagrożeń związanych ze zdalnym przepełnieniem bufora GUI zaaplikowanych do głównych źródeł MPlayera. Zrobione to zostało bez pełnego audytu kodu gałęzi 0.90 ze względu na brak zasobów.
Gałąź 0.90 jest dawno przestarzała, nie będzie kolejnych wydań, prawdopodobnie nawet nie będzie poprawek związanych z bezpieczeństwem. Zalecamy aktualizację do wersji 1.0pre5 jak tylko będzie dostępna lub do najnowszej wersji z CVSu.
MPlayer 0.93 można ściągnąć z następujących lokalizacji:
MD5SUM: 2ddd395cd1bc56559006398ef5105710
W kodzie GUI zostało zlokalizowane i zlikwidowane wiele zagrozeń związanych z ciągami. Przynajmniej jedno z nich można było wykorzystać zdalnie.
Wysoka (arbitralne zdalne wykonanie kodu z ID użytkownika korzystającego odtwarzacz), gdy używany jest GUI do odtwarzania pewnych typów list odtwarzania. Żadna gdy odtwarzacz używany z wiersza poleceń. GUI MPlayera jest opcjonalne i domyślnie nie jest budowane.
Łata została zaaplikowana do CVSu MPlayera w środę, 2 czerwca 2004 12:40:41 +0000 (UTC). Rezultat dokładnego audytu kodu, który odkrył dalsze potencjalnie wykorzystywalne błędy został zaaplikowany do CVSu MPlayera w piątek, 25 czerwca 2004 16:49:52 +0000 (UTC). Wszystko to będzie uwzględnione w MPlayerze 1.0pre5. Użytkownicy wersji dotkniętych tym błędem powinni dokonać aktualizacji do 1.0pre5, gdy tylko stanie się dostępny lub do najnowszej wersji z CVSu. Alternatywnie dostępna jest łata do wersji głównej oraz 0_90, którą można zaaplikować do źródeł MPlayera.
MPlayer 1.0pre4 i poprzednie
MPlayer 0.92.1 i poprzednie
brak
We wtorek, 1 czerwca 2004 z deweloperami MPlayera skontaktował się c0ntex, który znalazł w kodzie GUI zagrożenie w obsłudze ciągów, wraz z przykładowym exploitem i wstępną naprawą. Ta łata została wprowadzona do CVSu MPlayera w środę, 2 czerwca 2004 12:40:41 +0000 (UTC).
Podczas odtwarzania pewnych typ list odtwarzania z bardzo długimi wpisami ujawnia się błąd przepełnienia bufora. Pozwala to atakującemu nadpisać pamięć poprzez specjalnie przygotowaną listę odtwarzania i wykonanie kodu z ID użytkownika korzystającego MPlayera.
Richard Felker rozpoczął generalny audyt kodu GUI w poszukiwaniu dalszych problemów przy obsłudze ciagów i znalazł gniazdo potencjalnych błędów, z których część była prawdopodobnie wykorzystywalna. Nicholas Kain zabrał się za pełny audyt codu MPlayera, pod względem niebezpiecznej obsługi ciagów. Audytu dokończonył Alexander Strasser. Rezultat tego audytu został zaaplikowany do CVSu MPlayera w piątek, 25 czerwca 2004 16:49:52 +0000 (UTC).
Jako, że pierwszy, pobieżny przegląd kodu GUI natychmiast ujawnił wiele potencjalnie wykorzystywalnych błędów, powstrzymaliśmy się od publikacji tego poradnika do momentu zakończenia audytu całego kodu.
W czwartek, 1 czerwca 2004 11:22:29 (UTC) zaplikowany został prosty port poprawek do kodu stabilnego 0_90. Zostało to zrobione bez dalszego audytu kodu 0_90 z powodu braku środków. Z tego powodu porzucamy dalsze wsparcie dla 0_90 i zalecamy aktualizację do 1.0pre5 lub najnowszej wersji z CVSu.
MPlayer 1.0pre5, 0.93 i migawka CVS mogą być pobrane ze strony domowej MPlayera lub z jednego z wielu serwerów lustrzanych. Aby ściągnąć źródła MPlayera 1.0pre5 lub migawkę CVS, przejdź do strony pobierania MPlayera.
Nie, ciągle jest to MPlayer ;-).
Lecz ponieważ teraz działamy na tak wielu systemach operacyjnych, pomyśleliśmy, że
MPlayer - Odtwarzacz Filmów dla Linuksa
już nie pasuje. Od teraz będzie to po prostu
MPlayer - Odtwarzacz Filmów
umarł król - niech żyje król!
Twój odtwarzacz video jest... OPATENTOWANY (w USA)
Demonstracja przeciwko patentom na oprogramowanie w Karlsruhe, mieście, w którym odbywa się LinuxTag z niektórymi deweloperami i adwokatami MPlayera. Przeczytaj więcej na stronie FFII (po angielsku).
Załoga MPlayera będzie reprezentowana na LinuxTag 2004 przynajmniej przez takie osoby jak Alex Beregszaszi, Sascha Sommer oraz Diego Biurrun. LinuxTag to połączenie targów z konferencją dotyczącą Linuksa i Wolnego Oprogramowania dla projektów oraz firm. Odbywa się w Karlsruhe w Niemczech, w dniach 23 - 26 czerwca. Będziemy mieli stoisko w sektorze poświęconym projektom. Będziemy obecni przez pełne 4 dni. Liczmy na zorganizowanie małej konferencji z jak największą liczbą deweloperów. Jeżeli kiedykolwiek chciałeś z nami pogadać, będzie to doskonała okazja.
Liczne luki w klienckim kodzie dla serwerów RealNetworks Real-Time Streaming Protocol (RTSP) zostały znalezione i naprawione, włączając serię potencjalnie zdalnie wykorzystywalnych błędów przepełnienia bufora. Jest to połączony poradnik od załóg MPlayera i xine, jako że ten kod jest wspólny dla obu projektów. Załoga xine przypisała temu ogłoszeniu ID XSA-2004-3.
Wysoka (arbirtralne wykonanie kodu z ID użytkownika korzystającego odtwarzacz), gdy odtwarzane są strumienie RTSP. W chwili obecnej nie są znane żadne exploity wykorzystujące te luki.
Odtwarzacze mają tę lukę tylko przy odtwarzaniu strumienie Real RTSP. Nie ma zagrożenia gdy Real RTSP (realrtsp) nie jest wykorzystywane.
Łata została zaaplikowana do CVSu MPlayera w sobotę, 24 kwietnia 2004 12:33:22 +0200 (CEST). Łata ta jest uwzględniona w MPlayer 1.0pre4. Użytkownicy wersji dotkniętych tą luką powinni zaktualizować MPlayera do wersji 1.0pre4 lub nowszej. Alternatywnie dostępna jest sama łatka, którą można nałożyć na źródła MPlayera.
Łata na xine-lib została zaaplikowana do CVSu w piątek, 23 kwietnia 21:59:04 2004 UTC. Łata ta jest uwzględniona w 1-rc4. Użytkownicy dotkniętych wersji xine-lib powinni dokonać aktualizacji do xine-lib 1-rc4 lub nowszej. Jeżeli aktualizacja taka z jakiegoś powodu nie jest wykonywalna, wadliwy kod można wyłączyć usuwająć wtyczkę wejściową RTSP, która zlokalizowana jest tu: $(xine-config --plugindir)/xineplug_inp_rtsp.so. Jeżeli xine zainstalowany został z domyślnymi ścieżkami, będzie to: /usr/local/lib/xine/plugins/1.0.0/xineplug_inp_rtsp.so To obejście wyłącza obsługę strumieni RTSP.
MPlayer 1.0pre1-pre3try2
xine-lib 1-beta1 do 1-rc3c
MPlayer 0.92.1 i wcześniejsze
MPlayer 1.0pre4 i nowsze
MPlayer CVS HEAD
xine-lib 1-beta0 i wcześniejsze
xine-lib 1-rc4 i późniejsze
xine-lib CVS HEAD
W czwartek, 22 kwietnia 2004 Diego Biurrun znalazł błąd, wywalający MPlayera w kodzie realrtsp. Roberto Togni później tego dnia potwierdził, że błąd ten powoduje przepełnienie bufora. Załoga xine została powiadomiona i zostały przeprowadzone niezależne audyty kodu, których dokonali: Miguel Freitas (xine) oraz Roberto Togni (MPlayer). Audyty te ujawniły wiele luk.
MPlayer 1.0pre4 można pobrać ze strony domowej MPlayera, bądź też z wielu serwerów lustrzanych. Aby ściągnąć kod źródłowy MPlayera 1.0pre4, przejdź do strony pobierania MPlayera.
xine-lib 1-rc4 można pobrać ze strony domowej xine.
Minęło dużo czasu bez żadnego wydania a w tym czasie stało się wiele. Można pomysleć, ze od czasu afery z KiSS i pożegnań niektórych deweloperów nie miał miejsce żaden rozwój. W rzeczy samej było wiele wewnętrznych zmian. Alex Beregszaszi (który jest opiekunem od 0.90rc3) jest teraz wspomagany przez grupę opiekunów, czyniąc to pierwszym prawdziwie grupowym wydaniem MPlayera. Aby to to oddać w pełni, prezentujemy stronę w nowym wystroju. Jeżeli myślałeś o tym, aby nam pomóc przy budowaniu najszybszego i najbardziej elastycznego odtwarzacza video, to teraz jest najlepszy moment do dołączenia do naszej załogi. Po prostu dołącz do nas na naszych listach dyskusyjnych oraz na kanałach IRCowych. Potrzebujemy nie tylko koderów ale także dokumentatorów i ludzi, którzy chcą nam pomóc z wieloma szczegółami, którymi się trzeba zająć aby taki duży projekt osiągnął sukces. Lecz jeżeli myślisz, że rozwój MPlayera się zatrzymał to wystarczy spojrzeć na ogromną listę zmian.
Naprawiliśmy zdalnie wykorzystywalną lukę w bezpieczeństwie w kodzie Real RTSP. Aby uzyskać szczegółu, przeczytaj nasz poradnik. Wielkie dzięki dla załogi xine za wspaniałą współpracę z nami przy audycie współdzielonego kodu. Znaleźliśmy także przepełnienie bufora w demuxerze Matroski oraz w kodzie CDDB, więc zachęcamy do aktualizacji.
Poza tym było tak wiele zmian, że ciężko wybrać te ważniejsze.
Jak zwykle ulepszona i rozszerzona została dokumentacja oraz ulepszone zostały nasze liczne porty. Porty BSD są coraz bliżej wersji Linuksowej. Użytkownicy Mac OS X i PowerPC ucieszą się ze 100% przyśpieszenia, poprzez wiele optymalizacji Altivec oraz z natywnego sterownika wyjścia Quartz (Mac OS X). Wersja Windowsowa kształtuje się na równoprawnego wpółzawodnika do wersji Uniksowych. Ściągaj i rozpowszechniaj.
Jeżeli miałeś w przeszłości problemu z odtwarzaniem strumieniowym, to może to być wydanie właśnie dla Ciebie. Naprawiliśmy masę błędów i dodaliśmy obsługęlist odtwarzania SMIL do obsługi strumieni Real RTSP oraz obsługujemy już Nullsoft Streaming Video (NSV)
Z (ekperymantalną) obsługą odczytu i zapisu AVI OpenDML usunęliśmy z listy życzeń długo obecną tam pozycję. Nadszedł czas odtwarzania i tworzenia ogromnych AVI.
Nasz system filtrów video został poszerzony przez nie mniej niż siedem filtrów i poprzez to jest bardziej elastyczny niż kiedykolwiek.
Jeżeli jesteś oldschoolowcem uzależnionym od trybu tekstowego i lubisz wyjście ASCII art, możesz teraz cieszyć się nim w pełnym kolorze ze sterownikiem wyjścia caca.
Na froncie kodeków teraz obsługujemy XviD 1.0, VP5 oraz VP6 i istniejące kodeki zostały ulepszone oraz zoptymalizowane. Paczka z kodekami została poszerzona o kilka DLLi. Nie zapomnij pobrać nowej wersji.
Jak zwykle bylibyśmy niczym bez FFmpeg i wielu natywnych kodeków, które dostarczają. Między innym FLAC dołączyło długą listę obsługiwanych kodeków i reszta doznała zauważalnych ulepszeń szybkości i jakości.
Cieszcie się...
MPlayer 1.0pre4 można pobrać z następujących lokalizacji:
MD5SUM: 83ebac0f05b192516a41fca2350ca01a
Port windowsowy pobierzesz stąd:
http://www.mplayerhq.hu/MPlayer/releases/win32/
Nie zapomnij odwiedzić strony pobierania. Jest tam zaktualizowana paczka z kodekami!
Od jakiegoś czasu MPlayer ma dwa oficjalne kanały IRCowe w sieci freenode:
Po tym jak dwóch (teraz nie tak aktywnych, lecz ciągle cennych) deweloperów opuściło projekt (obydwaj opublikowali niepotrzebne wiadomości o tym na stronie), można by pomyśleć, że prawie umarliśmy. To założenie jest fałszywe, inni deweloperzy są aktywni lecz zajęci pracą.
Bądźcie przygotowani na nowe wydanie!
W celu wyjaśnienia: Powiedziałem "niepotrzebne wiadomości". ponieważ wielu deweloperów już odeszło, bez wiadomości na stronie oraz wielu dołączyło po nich.
FFII zorganizowało w tym roku
demo takie jak w 2003.
Projekt MPlayer jest dumny, będąc częścią tych konferencji: Diego
Biurrun i ja byliśmy tam i rozmawialiśmy o patentach i o sprawie KiSS ze
znanymi i wspaniałymi autorytetami, takimi jak Alan Cox i George Greve
(Przewodniczący FSF Europe).
Jako raport może służyć wiadomość od Diego.
Zdecydowałem się opuścić projekt MPlayer. Osobiste podziękowania dla:
Żegnajcie.
WYSOKI (jeśli odtwarzamy strumienie HTTP)
NISKI (jeśli odtwarzamy jedynie zwykłe pliki)
Odnaleziono groźną lukę pozwalającą na zdalne przepełnienie bufora.
Złośliwy host może podać szkodliwy nagłówek HTTP ("Location:") i spowodować,
że MPlayer wykona złośliwy kod przy próbie interpretacji tego nagłówka.
seria MPlayer 0.90pre
seria MPlayer 0.90rc
MPlayer 0.90
MPlayer 0.91
MPlayer 1.0pre1
MPlayer 1.0pre2
MPlayer 1.0pre3
wydania MPlayera sprzed 0.60pre1
MPlayer 0.92.1
MPlayer 1.0pre3try2
MPlayer 0_92 CVS
MPlayer HEAD CVS
Programiści zostali powiadomieni dnia 2004-03-29 (przez "blexim")
Poprawka została włączona do HEAD CVS 2004-03-30 12:58:43 CEST
MPlayer 0.92.1 (wydanie vuln-fix-only) został wydany 2003-03-30 16:45:00 CEST
MPlayer 1.0pre3try2 (wydanie vuln-fix-only) został wydany 2003-03-30 16:51:00 CEST
Łatka dla każdej wrażliwej wersji dostępna jest
tutaj.
Użytkownicy MPlayera 1.0pre3 powinni aktualizować do najnowszego CVS
Użytkownicy MPlayera 0.92 (i starszych) powinni aktualizować do 0.92.1 lub najnowszego CVS
MPlayer 0.92.1 (podpis PGP) (suma MD5) jest dostępny tutaj:
MPlayer 1.0pre3try2 (podpis PGP) (suma MD5) jest dostępny tutaj:
Ja (A'rpi) opuściłem MPlayera już rok temu, gdy wypuszczony został 0.90. Nie było to YAML (Yet Another MPlayer Leaving :) - Kolejne Opuszczenie MPlayera), gdyż opuściłem G1, by pracować nad MPlayerem G2. Teraz opuszczam cały projekt MPlayer, włącznie z rozwojem G2 i całej reszty, z wyjątkiem administracji serwera MPHQ (z przyczyn technicznych). Nie czytałem żadnej listy MPlayera od miesięcy (poza paroma mailami kierowanymi do mnie) i straciłem wszelkie zainteresowanie pracą nad rozwojem MPlayera.
Jeśli chodzi o G2, to podstawowym powodem poddania się były problemy z podwójnym licencjonowaniem, o których toczyła się niedawno dyskusja na liście g2-dev. Moja opinia na temat GPL ponownie została dowiedziona, np. to, że nie chroni nas przed kradzieżą kodu (zobacz problemy z KiSS), odstraszając przy tym sponsorów i firmy. Chciałem, by z G2 mógł korzystać każdy program jako standardowe linuksowe multimedialne API/biblioteka, ale GPL jest na to zbyt restrykcyjne, a wszelkie inne propozycje licencyjne zostały natychmiast odrzucone przez wszystkich innych (potencjalnych) deweloperów G2. Oczywiście G2 może również zostać napisany jako wolne oprogramowanie GPL (wolne jak RMS:)), ale zajmie to zbyt długo, a ja nie jestem zainteresowany udziałem w tym.
Co dzieje się teraz ze mną? Wróciłem do niektórych z moich starych projektów, np. AMC i stworzyłem nowy projekt zajmujący się heurystycznym skanowaniem antywirusowym emaili, zwany pymavis.
Program Speedlight węgierskiego radia Tilos Radio przeprowadził wywiad na żywo z Zoltán Ponekker (Pontscho), jednym z założycieli MPlayera, który rozwinął znaczącą część MPlayera, a w szczególności GUI.
Wywiad (po węgiersku) dostępny jest tu: Część 1 | Część 2 | Część 3 |
Dzięki naszym wspaniałym użytkownikom wygraliśmy kolejną nagrodę. Tym razem jest to trofeum Softonic "Mejor Reproductor de Vídeo".
Dziękujemy za poparcie!
Dzięki wspaniałym podarunkom Charlie'go (kontroler Adaptec 29160) i Lupina III (2 dyski 36GB 10krpm), mogliśmy wreszcie przenieść system i dane (listy mailingowe, cvs, strona itp) na SCSI, w nadziei, że rozwiąże to problemy ze stabilnością, które mieliśmy od grudnia ze starymi dyskami IDE IBM'a. Powinno to również poprawić szybkość i czas reakcji serwera.
W każdym razie dalej mamy jeszcze mały problem: dyski mają 80-pinowe złącza (SCA), a przejściówki 80-do-60, które udało mi się tu kupić, nie działają w trybie LVD, ograniczając przepustowość do 40Mb/s (tryb SE). Powinno to na razie wystarczyć, ale jeśli macie 2 sztuki niepotrzebnych przejściówek 80/68, które potrafią pracować w LVD, nie wahajcie się nam je podarować! :)
Wygląda na to, że 2003 to rok MPlayera. Zostaliśmy wyróżnieni kolejną nagrodą! ;)
Węgierski Portal Uniksowy (Hungarian Unix Portal) - największy węgierski serwis poświęcony wolnemu oprogramowaniu - po raz pierwszy nadał swoją nagrodę Reader's Choice Award w listopadzie 2003. Członkowie mogli głosować pomiędzy 19 listopada 2003 a 20 grudnia 2003.
Dla osób nieznających węgierskiego podajemy wyniki:
Osoby znające węgierski mogą odwiedzić obejrzeć artykuł o zwycięzcach.
LinuxQuestions.org zakończyło głosowanie nad przyznaniem nagrody LinuxQuestions.org Members Choice Award i MPlayer uzyskał tytuł Aplikacji multimedialnej roku.
MPlayer zyskał 44.61% głosów, pokonując XMMS z 27.90% głosów oraz xine z 17.40% głosów.
Z powodu serii awarii dysków IDE, które zdarzyły nam się w ostatnich tygodniach, część baz danych konfiguracji/użytkowników zoostało uszkodzonych.
Zwłaszcza lista MPlayer-G2-dev, której nie da się naprawić, wiec utworzyłem ją ponownie i zapisałem wszystkich z powrotem, a przynajmniej tych, którzy byli zapisani przed 15 sierpnia 2003 roku. Nie mam żadnych informacji na temat zapisów/wypisów po tej dacie, gdyż wyłączyłem powiadamianie. Proszę zweryfikować swoje członkostwo oraz ustawienia!
W związku z tym, że MPlayer-users również niejako ucierpiało, wiele osób poinformowało, że albo przestali dostawać wiadomości, albo ponownie zaczęli je dostawać pomimo, iż nie byli członkami (już się wypisali). W każdym razie lista ta ma ponad 1500 członków, spośród których wielu ma złe (odrzucające pocztę) adresy.
Żeby wszystko wyjaśnić, stworzyłem listę mplayer-newusers, ale
Attila Kinali zasugerował lepszą metodę: wysłać każdemu członkowi
mplayer-users wiadomość z prośbą o ponowny zapis, masowo wypisać
wszystkich i utworzyć ponownie listę.
Więc wszyscy muszą się ponownie zapisać,
nawet jeśli byli już wcześniej zapisani.
Duńskie Radio Narodowe (Danish National Radio http://dr.dk) przeprowadziło wywiad ze mną (jako przedstawiciel MPlayera) oraz dyrektorem zarządzającym KiSS Technology, Peterem Wilmarem Christensenem.
Zostanie on nadany dziś wieczorem o 20:35, ale jest już teraz dostępny w Internecie:
Pisemny artykuł dostępny jest również w języku Duńskim.
Dokonaliśmy szybkiego tłumaczenia sesji na język angielski (dzięki Anders Rune Jensen) (a potem na język polski dzięki nam). Nasze komentarze można znaleźć na dole.
KONIEC TŁUMACZENIA
Komentarze Gabucino: Według mnie odrażające jest czytanie
takiej ilości zwykłych kłamstw. Jest oczywiste, że firmy typu KiSS, czy SCO
zagrażają Open Source. Przyjrzyjmy się jeszcze raz tym zdaniom:
Jest dość jasne, że nigdy nie czytali naszej sekcji Wieści, gdyż pospiesznie oświadczyliśmy, że ukradli nawet nasz własny format plików MPsub (zobacz nasze specyfikacje).
Pomysł był mój, później spytałem laaz, czy byłby tak miły, żeby zaimplementować go w MPlayerze. Wtedy, 12 października 2001 o 13:51:58 wprowadził obsługę, jak można to zobaczyć tutaj. Format ten nigdy nie był widziany gdzie indziej.
Można dojść do paru wniosków:
W rzeczywistości możemy łatwo zaobrazować reprezentację ich punktu widzenia, zwłaszcza widząc ich niechęć do rozpoczęcia rozmowy z nami za pomocą poczty elektronicznej. Opinie KiSS Technology wyglądają następująco:
Dlaczego firmy takie, jak KiSS nie mogą być karane przez prawo?
Binaria w nowym firmware KiSS Technology wydają się na pierwszy rzut oka nie zawierać naszych stringów (stałych tekstowych). Najpierw pomyśleliśmy, że są zaszyfrowane lub ukryte w jakiś inny sposób, jak na przykład wykonywalne archiwum. W rzeczywistości nowe pliki są po prostu spakowane gzipem. Wypakowanie ich jest bardzo proste:
dd if=fileplayer.bin bs=64 skip=1 | gunzip > fileplayer.bin.decomp
Stringi ciągle tu są. Nic się nie zmieniło.
Pobieranie:
Zwrócono moją uwagę na to, że znane już KiSS Technology, które pogwałciło już Powszechną Licencję Publiczną GNU ukradło (potwierdzone) inny program także całkowicie na licencji GPL.
Oprogramowaniem tym jest wysokiej jakości kodek audio MPEG, MAD (libmad). Ten kodek używany jest przez wiele innych odtwarzaczy audio, jak działający z wiersza poleceń mpg321, który można znaleźć w większości dystrybucji Linuksa - włączając Debiana.
Stringi z firmware (odpowiadające źródłom libmad), można obejrzeć - lecz możesz to sprawdzić samodzielnie. To całkiem proste,
Jeśli już to zrobisz: nie bądź zaskoczony gdy znajdziesz więcej stringów odpowiadających tym z libjpeg.
Zanim dostanę następne 10 maili: plik GPL.ZIP, który
oferują do ściągnięca na swojej stronie zawiera tylko jądro Linuksowe
i źródła busybox, a nie MPlayera!
Dzięki.
Ogólnie KiSS Technology specjalizuje się w specyficznym sprzęcie, mianowicie w stacjonarnych odtwarzaczach DVD oraz MPEG-4 i tym podobnych.
nie ma w tym nic złego.
Jednakże gdy beztroski użytkownik rozpocznie poszukiwanie stringów w jednym z ich firmware:
$ strings KiSS_DP-508_FW2.7.4_PAL.iso | grep -A 3 -B 6 MPSub
Microdvd
Subrip
Subviewer
Sami
Vplayer
Unknown
MPSub
Subviewer 2.0
Subrip 0.9
Jacosub
Uruchomienie tego samego polecenia na binarce MPlayera:
$ strings /usr/bin/mplayer | grep -B 8 mpsub -A 4
<...>
L>microdvd
subrip
subviewer
sami
vplayer
dunnowhat
mpsub
subviewer 2.0
subrip 0.9
jacosub
<...>
Możesz także sprawdzić pliki subreader.h
albo subreader.c
w źródłach MPlayera.
Jak widać firmware KiSS zawiera formaty napisów w tej samej kolejności co u nas. Rzeczą, która bardzo przyciąga oko jest format MPSub, będący naszym własnym formatem napisów, który jak dotąd nie został nigdzie więcej użyty.
Kolejną fajną sprawą jest format napisów "dunnowhat" (niewiadomoco) AKA "unknown" (nieznany), którego nazwa pozostaje nam nieznana - stąd takie nazewnictwo. Tak samo jest w plikach KiSS.
To oczywiście nie jest wystarczające aby stanowić dowód. To co daje stuprocentową pewność kradzieży jest całkiem oczywiste: wywołania sscanf(), które w celu identyfikacji wybranego pliku z napisami zawierają wzorce formatów napisów znane parserowi napisów.
Popatrzmy na prosty przykład:
$ strings fileplayer.bin
<...>
<SAMI>
%d:%d:%d.%d %d:%d:%d.%d
@%d @%d
%d:%d:%d:
%d:%d:%d
Dialogue: Marked
%d,%d,"%c
FORMAT=%d
FORMAT=TIM%c
-->>
<...>
$ strings subreader.o
<...>
<SAMI>
%d:%d:%d.%d %d:%d:%d.%d
@%d @%d
%d:%d:%d:
%d:%d:%d
Dialogue: Marked
Dialogue:
%d,%d,"%c
FORMAT=%d
FORMAT=TIM%c
-->>
<...>
To są wzorce, których używamy do identyfikacji napisów SAMI. W naszym parserze mamy jeszcze jeden wzorzec, dodany 20 lipca 2003, w wyniku obsługi nowego formatu napisów, zwanego "ASS". Brakuje go w plikach KiSS, więc musieli zwinąć nasz kod przed tą datą.
Zobaczmy inny:
$ strings fileplayer.bin
<...>
<%*[tT]ime %*[bB]egin="%d.%d" %*[Ee]nd="%d.%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d.%d" %*[Ee]nd="%d:%d.%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d:%d" %*[Ee]nd="%d:%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d:%d" %*[Ee]nd="%d:%d.%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d:%d.%d" %*[Ee]nd="%d:%d.%d"%*[^<]<clear/>%n
<...>
$ strings subreader.o
<...>
<%*[tT]ime %*[bB]egin="%d.%d" %*[Ee]nd="%d.%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d.%d" %*[Ee]nd="%d:%d.%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d:%d" %*[Ee]nd="%d:%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d:%d" %*[Ee]nd="%d:%d.%d"%*[^<]<clear/>%n
<%*[tT]ime %*[bB]egin="%d:%d.%d" %*[Ee]nd="%d:%d.%d"%*[^<]<clear/>%n
<...>
To są wzorce, których używamy do identyfikacji napisów RT.
Każdy z ich wzorców odpowiada naszemu! To nie jest zbieg okoliczności. To kradzież kodu GPL na rzecz własnościowego produktu! Opublikowaliśmy tę wiadomość dlatego, że KiSS Technology nie odpowiedziało na nasze zapytanie o ich pliki z kodem źródłowym (które są zobligowani dostarczyć).
Pobieranie: