Bezpečnostní chyby v Blenderu

Bezpečnostní tým Cisco Talos upozorňuje na celou řadu bezpečnostních chyb v Blenderu. Vývojáři Blenderu byli o chybách informování již v září. Dosud tyto chyby ale opraveny nebyly. Doporučeno je neotevírat v Blenderu soubory z nedůvěryhodných zdrojů.

Ze záznamu o chybě:

"opening a file with Blender should be considered like opening a file with the Python interpreter, you have [to trust] the source it is coming from"

"Users should understand that loading untrusted scene files in Blender and other CG software is not currently secure, and not get the false impression that software developers addressing the occasional reported issue means it will be secure."

Wow, takže situace s wordowskými makry se opakuje, tentokrát v open-source. Krása. (Snad od Vist jsou soubory stažené z internetu označené příznakem a Word, Excel, Powerpoint je otevřou read-only, makra nespustí a otevřou je v sandboxu (na způsob Chrome).)

16.1.2018 22:23 Cabrón
Rozbalit Rozbalit vše Re: Bezpečnostní chyby v Blenderu

Zrovna Blender (narozdíl od jiných, i komerčních, CG sad) ve výchozím nastavení nemá žádný "on-load" hook, takže script nespustí, ale není problém cokoliv nabindovat na moře jiných událostí, např. na mouse over a podobně. Např. Maya spustí Python kód definovaný v souboru bez jakéhokoliv omezení hned po jeho otevření.

CG soubory obecně jsou vektory (v bezpečnostním smyslu), protože silné scriptování a automatisace jsou všude. Neplatí samozřejmě při předávání "hloupých" formátů jako meshe, obrázky nebo zvuky.

To je důvod, proč ty chyby nemají prioritu - nedávají útočníkovi nic nového, mechanismus pro spouštění škodlivého kódu má k disposici továrně a oficiálně :-)

https://www.security-assessment.com/files/documents/presentations/Hacking-Hollywood_Nick-Freeman_Ruxcon2011.pdf

Bezpečnostní chyby v Blenderu

Komentáře