Le message “libavcodec peut être vulnérable…” dans Firefox

38

Depuis la semaine dernière, je reçois le message suivant pour presque toutes les pages que j'ouvre dans Firefox:

libavcodev peut être vulnérable ou n'est pas pris en charge et doit être mis à jour pour lire la vidéo

Apparemment, c'est juste un avertissement, parce que je peux lire des vidéos normalement.

j'ai essayé

sudo apt-get install libavcodec

mais ce paquet n'existe pas.

J'ai aussi fait apt-get updateet apt-get upgrade, mais le message persiste.

Enfin, lorsque je l'utilise apt-get autoremove, il ne renvoie aucun paquet.

J'ai googlé pour le message, mais je n'ai rien trouvé de semblable.

Que dois-je faire pour éliminer ce message? Devrais-je rester alerte pour quoi que ce soit?

Quelques infos:

  • Ubuntu 14.04
  • Firefox Developer Edition 51.0a2
ubuntu firefox libav James
la source
1
Si vous voulez savoir d'où provient un programme / composant, vous pouvez l'installer apt-file. Vous devez le mettre à jour périodiquement avec apt-file update. Ensuite, vous utilisez apt-file find program-namepour savoir dans quels paquets il se trouve. C’est un excellent outil, mais il ne cherchera que dans les référentiels que vous avez installés. Donc, si ce dont vous avez besoin est dans un PPA que vous n'avez pas installé, il ne le trouvera pas.
Joe

Réponses:

36

Il existe un problème de sécurité décrit ici :

La description

La fonction ff_dwt_decode dans libavcodec / jpeg2000dwt.c dans FFmpeg antérieure à la version 2.8.4 ne valide pas le nombre de niveaux de décomposition avant de procéder au décodage de la transformation de Wavelet Transform discrète, ce qui permet aux attaquants distants de provoquer un déni de service (accès hors réseau à la matrice). ou éventuellement avoir un autre impact non spécifié via les données JPEG 2000 spécialement construites .

le libavpeut être installé via:

sudo apt-get install libav-tools

La libavversion de s utilisée par Ubuntu 14.04 est 9.xet peut être mise à niveau 11.xcomme suit:

sudo add-apt-repository ppa:heyarje/libav-11
sudo apt-get update
sudo apt-get install libav-tools

Courir:

sudo apt-get update && sudo apt-get upgrade
sudo apt-get dist-upgrade

mettre à jour des paquets.

GAD3R
la source
5
sudo apt-get upgrade(au lieu de dist-upgrade) devrait suffire.
mpy
3
La dist-upgrade est-elle vraiment nécessaire?
dwbartz
1
Ajouter un nouveau référentiel apt est-il aveuglément vraiment plus sûr que de continuer à utiliser une version obsolète de libav?
Shadi
@shadi, oui. Vous pouvez rechercher qui est launchpad.net/~heyarje. Vous pouvez également comprendre qu'il est fort peu probable après avoir critiqué les utilisateurs Ubuntu moyens. Aucune garantie ofc. Autoriser l'utilisation d'une version obsolète est une garantie, que tout clic sur un clic peut entraîner l'exécution d'un code arbitraire sur votre ordinateur. À l'heure actuelle, c'est probablement automatisé. Un faux clic et tous vos mots de passe ont disparu.
Ufos
16

Si vous ne pouvez pas mettre à jour votre libav, vous pouvez forcer Firefox à utiliser l'ancienne version en modifiant ce paramètre (-> about: config):

media.libavcodec.allow-obsolete

Le paramètre par défaut est false , mais vous pouvez le remplacer par true .

RenéF.
la source
2
Merci. C’est un bon travail (sachant que FF est plus peu sûr à l’heure actuelle) pendant que j’attends le vrai correctif de Ubuntu / Mint. De plus, je devais redémarrer Firefox après avoir défini cette entrée de configuration sur false.
Neil Wightman
7

La réponse de GAD3R fonctionne si vous êtes en mesure d'installer un autre référentiel, et celle de ReneF si vous êtes d'accord avec la vulnérabilité de sécurité.

Si, comme moi, vous ne voulez pas que certaines vidéos ne soient pas lues et que vous souhaitiez simplement que ce foutu message disparaisse, sans désactiver libavcodec (car le fait de le désactiver manuellement signifie que je devrais le réactiver manuellement une fois qu'un correctif sera publié. ) - alors vous devriez aller àabout:config , et chercher:

media.decoder-doctor.notifications-allowed

Dans le champ de valeur, vous pouvez voir une liste de valeurs séparées par des virgules; celui que vous souhaitez supprimer est MediaUnsupportedLibavcodec. Par exemple, mon paramètre était:

MediaWMFNeeded,MediaWidevineNoWMFNoSilverlight,MediaUnsupportedLibavcodec

Et je l'ai changé pour:

MediaWMFNeeded,MediaWidevineNoWMFNoSilverlight

Alto! Plus de notification gênante, et les vidéos nécessitant le codec ne fonctionneront pas. Cependant, il n'y a pas de problème de sécurité et une fois que le référent officiel propose une solution, les vidéos recommenceront à fonctionner sans aucun effort supplémentaire de votre part.

cegfault
la source
2

libavcodec a été mis à jour dans Ubuntu 14.04 .

Une mise à jour de libav-tools, libavcodec-extra et libavcodec-extra-54 dans Ubuntu 14.04 a résolu ce problème. La libavcodec may be vulnerable or is not supported, and should be updated to play videonotification n'apparaît plus après la mise à jour du système avec Software Updater.

Karel
la source
-1

Les gens rendent cela plus difficile que nécessaire - et dans certains cas, cela peut ne pas fonctionner du tout (mon cas), ou être acceptable pour continuer avec un risque de sécurité réel (changer les choses dans Firefox).

Allez simplement dans le centre de logiciel, attendez le chargement, tapez «restreint» dans la fonction de recherche et installez le paquetage de suppléments restreints pour votre distribution particulière.

Terminé. Même si vous avez activé les extras restreints dans les mises à jour, cela ne s'applique apparemment pas aux codecs vidéo pour une raison quelconque. Cela a résolu mon problème même après avoir obtenu un 'codec n'a pas pu être installé en raison de paquets retenus cassés' - ou une telle notification d'approximation.

Akiviri
la source