Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Und wie funktioniert Deiner Meinung nach ein Stream genau?
Bitte jetzt mal genau nachdenken, was Du jetzt sagst. Wenn Streams wirklich so ein Problem wären, hätten wir weltweit im täglichen Internetverkehr ein Riesenproblem.
Und nur mal so, der TS verwendet hier einen Stream mit URL von einem deutschen Provider mit ordentlichem Impressum und nicht eine dubiose URL aus dem Ausland außerhalb der EU.
@toppixus Mal vom Thema abgesehen ist es wichtig, genug und gut zu schlafen. Sonst kommen erst recht alle möglichen Gedanken hoch. Wenn das bei dir so ist sprich auch mal mit einem Arzt darüber.
Ich denke mal, nutrix hat in diesem Fall recht, er hat die wortwörtliche Frage tatsächlich am besten beantwortet.
Aber wir wissen mal wieder nicht, ob der TE überhaupt die richtige Frage gestellt hat. Die Umstände, warum er sich diese Frage überhaupt stellt, kennen wir ja nicht mal. Sollte die Frage stattdessen beispielsweise eigentlich lauten "Bin ich sicher, wenn ich diesen Link öffne?", würden die Antworten ganz anders ausfallen. Also wäre es ganz nett, wenn wir mehr Hintergrundinfos bekämen.
Falls es manchen entgangen sein sollte:
Viele Fragesteller geizen mit Infos, und das ist hier leider genau wieder so eine typische Frage. Und wenn die Fragesteller schon keine Mühe machen, mehr Infos zu liefern, sehe ich mich nicht genötigt, weiter nachzufragen, sondern antworte direkt und kurz auf die genau gestellte Frage. Wenn sich jetzt hier nicht immer alle gleich draufstürzen würden, und dann die Antwortenden gleich auseinandernehmen wollen, und damit solche Nichtigkeitsthemen wieder und wieder so unnötig aufgebauscht werden, wären vielen Themen mit so wenig Infos schnell erledigt. Der TS könnte ja dann doch bei einer kurzen Antwort selbst weiter Infos liefern oder nachfragen.
Wir sind doch hier nicht in der Pflicht zu liefern, sondern die Fragestellenden.
Ich finde deinen Ton ziemlich daneben, zumal du nicht so weit im Recht bist, wie du meinst. Es gab schon Schadsoftware, die hat sich auf iPhones installiert wenn man einfach nur eine Webseite besucht hat (und ja, das war eine reguläre inländische Website/URL). Die fängt man sich aber nicht mal eben random ein, weil Staaten mit solchen 0Day Kombinationen nur gezielt Einzelpersonen oder Gruppen anvisieren.
Wenn aber hier jemand mit so einer Frage ins Forum kommt, dann lautet die Antwort in dem gegebenen Kontext "Nein, da kann nichts passieren" - wie du das ja auch gemacht hast. Das ist auch die einzige korrekte Antwort für Personen, die sich gerade übermäßig über solche Dinge sorgen. Denn wie du schon richtig schriebst muss sich niemand sorgen machen sich was einzufangen, solange der Browser auf dem neusten Stand ist.
Hingegen wenn solche Sorgen und Ängst stark invasiv werden - und erst ab einem gewissen Grad fragt man ja überhaupt erst in einem Forum nach - sollte man nicht nur mit ITlern sprechen, sondern auch mit Menschen die einem mit den Sorgen und Ängsten an sich weiterhelfen können - im Zweifel kann man sich immer erstmal an einen Hausarzt wenden. Denn wenn man allgemein gerade sehr sorgenvoll ist, dann geht das nicht davon weg, dass man IT Fragen in einem Forum stellt.
Natürlich kann Dank dem Browser irgendwelche verseuchte Werbung dein pc schädigen, wenn du keinerlei Schutz hast oder dein Betriebssystem nicht uptodate ist oder den virenschutz deaktivierst oder zb ublock Origin nicht aktiv ist.
Wenn man mir Ahnungslosigkeit unterstellt, werde ich nun mal sauer. Zudem die Leute anscheinend hier nicht mal genau zwischen Stream und Metainfo lesen und Bufferüberläufen unterscheiden können, und dann anderen vorschreiben will, daß man sich informieren soll.
BeBur schrieb:
zumal du nicht so weit im Recht bist, wie du meinst. Es gab schon Schadsoftware, die hat sich auf iPhones installiert wenn man einfach nur eine Webseite besucht hat (und ja, das war eine reguläre inländische Website/URL). Die fängt man sich aber nicht mal eben random ein, weil Staaten mit solchen 0Day Kombinationen nur gezielt Einzelpersonen oder Gruppen anvisieren.
Ja, aber nochmal, wo genau passiert der Angriff? Und das ist genau die Frage, die man sich hier als erstes stellen muß, und das macht keiner hier, und das war auch nicht Bestandteil der Frage.
Ich frage nochmals, wo ist ist irgendwo ein Angriff bekannt geworden, der aus einem laufenden Datenstrom wie Audio, Video oder anderes erfolgt ist? Bisher erfolgten alle Angriffe dann über (falsches) Interpretieren von Metadaten oder Bufferüberläufen von Programmen. Sonst kann in einem Datenstrom stecken was will, wenn der nicht interpretiert werden kann, weil Mist oder ausführbarer Code da drin ist, passiert erst mal nichts weiter. Ist ja genauswie wie bei einem Download mit Schadzeug. Solange die Daten nur abgelegt und gespeichert wird, passiert erst mal nichts. Erst die Ausführung bzw. Auspacken usw. wird ein Problem, wenn man beim Auspacken gleich ausführen mit reinpackt (z.B. ACE mit altem Winrar)
BeBur schrieb:
Wenn aber hier jemand mit so einer Frage ins Forum kommt, dann lautet die Antwort in dem gegebenen Kontext "Nein, da kann nichts passieren" - wie du das ja auch gemacht hast. Das ist auch die einzige korrekte Antwort für Personen, die sich gerade übermäßig über solche Dinge sorgen. Denn wie du schon richtig schriebst muss sich niemand sorgen machen sich was einzufangen, solange der Browser auf dem neusten Stand ist.
Richtig, und daß die Sache sich wieder hier aufgebauscht hat, ist doch nicht meine Schuld. Und ich möchte, bei aller Liebe, wenn hier öffentlich falsche Informationen dann wiedergegeben werden, dem schon gerne entgegen.
BeBur schrieb:
Hingegen wenn solche Sorgen und Ängst stark invasiv werden - und erst ab einem gewissen Grad fragt man ja überhaupt erst in einem Forum nach - sollte man nicht nur mit ITlern sprechen, sondern auch mit Menschen die einem mit den Sorgen und Ängsten an sich weiterhelfen können - im Zweifel kann man sich immer erstmal an einen Hausarzt wenden.
Aber das ist ja, in einem Technikforum, nicht unsere Aufgabe, oder? 😉
Zudem, falls Du mal mit solchen Menschen Dich näher beschäftigt hast, diese Menschen auf solche Empfehlungen eh gleich abblockend und ignorierend reagieren. Sie glauben und denken ja, daß sie normal sind. Solange da keine Einsicht bei ihnen selbst da ist, erreichst Du eigentlich kaum was. Aber das ist auch wieder eine andere Baustelle.
BeBur schrieb:
Denn wenn man allgemein gerade sehr sorgenvoll ist, dann geht das nicht davon weg, dass man IT Fragen in einem Forum stellt.
Natürlich kann Dank dem Browser irgendwelche verseuchte Werbung dein pc schädigen, wenn du keinerlei Schutz hast oder dein Betriebssystem nicht uptodate ist oder den virenschutz deaktivierst oder zb ublock Origin nicht aktiv ist.
Hallo Leute. Danke vielmals für eure Antworten und die rege Diskussion. Und verzeiht mir, ich wollte hier keinen Konflikt auslösen oder so… Und ja, ich bin Leihe, daher habe ich hier gefragt. Und nein, ich habe keine Angst oder Panik, ich wollte einfach nur mein Wissen etwas erweitern. Und dafür bedanke ich mich wirklich sehr! Fairerweise wollte ich hier mein Vorhaben noch etwas konkretisieren: Ich wollte aus einem ausgedienten Gerät ein ganz einfaches Internet-Radio bauen, minimalistisch, flott, mit einem Minimum an Software, ohne störende, verfolgende, das System vermüllende Apps mit zusätzlicher appseitiger Werbung und mit einem aktuellen, möglichst auf die ausgewählten Streams beschränkten Browser. Und da viel mir die Möglichkeit ein, ausgewählte Streams (natürlich geprüft und aus seriösen Quellen, will mir ja nicht jeden xbeliebigen Sch..ß ahören :-)) eben mit einem Browser abzurufen, fertig. Aus euren Antworten lese ich, dass dies kein Problem sein sollte und sich dabei irgendwie zu infizieren äußerst unwahrscheinlich ist, sofern ich kein Staatsfeind bin oder so :-). Zusammenfassend: Es geht mir einfach nur um eine minimalistische, stabile Lösung ohne dass Google, Schmoodle & Co. mich dauernd stören, verfolgen und mich meiner privaten Daten berauben ;-). Eure Antworten reichen mir völlig! Danke dafür nochmal! MfG
Tatsächlich werden ziemlich viele Dateien (die nicht winzig sind) als Stream eingelesen, weil es einfach unsinnig ist, sie auf einmal in Memory zu laden. Und auch ganz unabhängig davon ist es das gleiche Konzept. Ob ich jetzt Daten in meinen Buffer aus dem Internet oder von der Platte lade ist egal. Wenn sie durch irgendwelche Tricks in der Lage sind länger als erwartet zu sein, können sie gegebenenfalls den Return-Pointer oder ähnliches überschreiben, und dann den Programmfluss in sich selbst legen, und schwupps, werden sie interpretiert. Und ja, natürlich, in einer perfekten Software ohne Fehler passiert das nicht. Aber wer behauptet, perfekte Software zu haben, verkauft auch Omas Lebensversicherungen.
Ein Stream wird in einen Buffer geladen, und der Overflow-Teil beschreibt eben genau das Überlaufen von eben. Streams werden in Buffer gelesen also Buffer = Stream, und Overflow beschreibt eben die Fehlermöglichkeit. Also ja, Buffer Overflow != Stream, aber nur weil das eine ein Konzept ist, was mit Buffern passieren kann, und das andere eine Art von Bufferquelle.
nutrix schrieb:
Aber ich befürchte, mit so einer Differenzierung der Sprache sind hier manche überfordert
The memory corruption vulnerability can be triggered with a maliciously crafted media file: when the audio stream in it is processed, it allows attackers to execute malicious code.
CVE-2025-31201 is an issue in RPAC (Return Pointer Authentication Code), a security feature that aims to thwart return-oriented programming attacks and similar code reuse exploits.
The vulnerability allows an attacker with arbitrary read and write capability to bypass Pointer Authentication. Apple fixed the security hole by removing the vulnerable code.
Tatsächlich werde ich jetzt allein anhand der Beschreibung nicht so richtig schlau, was da genau passiert ist.
Ergänzung ()
SchnappiYuno<3 schrieb:
in Stream wird in einen Buffer geladen, und der Overflow-Teil beschreibt eben genau das Überlaufen von eben. Streams werden in Buffer gelesen also Buffer = Stream, und Overflow beschreibt eben die Fehlermöglichkeit. Also ja, Buffer Overflow != Stream, aber nur weil das eine ein Konzept ist, was mit Buffern passieren kann, und das andere eine Art von Bufferquelle.
Nicht jeder Buffer Overflow hat gleich eine Ausführung zur Folge. Und wie Du ja vermutlich auch schon weißt, es sind ja meistens mehrere Faktoren, die dann bei sowas reinspielen. Pufferüberlauf + anderere Schwachstelle, z.B. bei Buffer Overflow + Systemaufruf oder SQL (SQL-Injection).
Wenn der Datenstrom richtig abgearbeitet wird, kannst Du dort eben mitnichten dort lagernden ausführbaren Code starten. Dazu müßtest Du dann den Pufferüberlauf gezielt an der Stelle auslösen können.
SchnappiYuno<3 schrieb:
Solche Sätze lassen einen nicht wie einen Experten, sondern höchstens gemein wirken.
Es soll auf den Umstand hinweisen, daß die Frage mit einem kleinen feinen Wort "reinen" einmal so oder so beantwortet werden kann. Sprich, richtig lesen (was mir aber auch mal passiert, keine Frage).
Ich wollte aus einem ausgedienten Gerät ein ganz einfaches Internet-Radio bauen, minimalistisch, flott, mit einem Minimum an Software, ohne störende, verfolgende, das System vermüllende Apps mit zusätzlicher appseitiger Werbung und mit einem aktuellen, möglichst auf die ausgewählten Streams beschränkten Browser.
Könntest auch ein minimalistisches Linux verwenden und darauf dann entweder deine Browservariante verfolgen oder dir einen Player suchen. Was so gut wie keine Ressourcen braucht ist z.B. cmus.
Ich wollte aus einem ausgedienten Gerät ein ganz einfaches Internet-Radio bauen, minimalistisch, flott, mit einem Minimum an Software, ohne störende, verfolgende, das System vermüllende Apps mit zusätzlicher appseitiger Werbung und mit einem aktuellen, möglichst auf die ausgewählten Streams beschränkten Browser. Und da viel mir die Möglichkeit ein, ausgewählte Streams (natürlich geprüft und aus seriösen Quellen, will mir ja nicht jeden xbeliebigen Sch..ß ahören :-)) eben mit einem Browser abzurufen, fertig.
Was wirst Du dann als OS verwenden? Ein Lunix, Windows....? Solange Du alles dann aktuell hältst, sollte das kein Problem darstellen. Tipps gabs ja bereits (Browser mit Noscript, Adblocker und Co absichern, Virenscanner?).
Ansonsten sichere regelmäßig, so daß Du jederzeit wieder recovern könntest.
Wie ist es denn mit dem Verbrauch, lohnt sich das überhaupt? Oder sprichst Du von einem Smartphone etc.?
Ich rufe mit dem Firefox eine reine Radio-Streaming-Adresse (Beispiel-Adresse: http://streams.radiopsr.de/psr-80er/mp3-192/mediaplayer) auf und der Browser streamt einfach nur live (siehe Bild), es wird keine Webseite, Werbung oder Ähnliches geladen
Das weißt du ja vorher nicht! Der Webserver von radiopsr.de kann sich auch jederzeit entscheiden unter der URL ein HTML-Dokument auszuliefern und dann hat die Seite mit JavaScript & Co. Zugriff auf die komplette Angriffsfläche des Browsers. So wie jede andere Webseite auch.
Aber du solltest die URL wirklich über https:// abrufen damit die Übertragung verschlüsselt ist und keine Drittpartei noch Daten einschleusen kann
toppixus schrieb:
Ich wollte aus einem ausgedienten Gerät ein ganz einfaches Internet-Radio bauen, minimalistisch, flott, mit einem Minimum an Software, ohne störende, verfolgende, das System vermüllende Apps mit zusätzlicher appseitiger Werbung und mit einem aktuellen, möglichst auf die ausgewählten Streams beschränkten Browser.
Wenn du auf die Sicherheit wert legst, warum dann einen Browser nehmen? Der Browser ist das umfangreichste Stück Software auf heutigen Systemen und braucht alle paar Tage ein Update weil am laufenden Band Sicherheitslücken bekannt werden.
Beispiel Firefox nur in den letzten 30 Tagen: Version 136.0.3 am 25.3., Version 136.0.4 am 27.3., 137.0 am 1.4., 137.0.1 am 8.4., 137.0.2 am 15.4., ...
Gerade wenn es ein ausgedientes Gerät ist dem noch neues Leben eingehaucht werden soll willst du wahrscheinlich nur sporadisch mal Updates einspielen.
Nimm einfach einen richtigen Medienplayer wie VLC, mpv & Co., da kannst du die URL auch direkt abspielen aber hast nicht den ganzen hochgradig anfälligen Browser-Ballast. Kannst auch Verknüpfungen anlegen die den Player direkt mit der richtigen URL öffnen und hübsch nach den Sendern benennen.
Paradoxerweise wäre das reine Abspielen eines Audiostreams in einem Browser sogar sicherer. Letztenendes nutzen sowohl VLC als auch Firefox die Decoder von ffmpeg um Audio/Video zu decodieren (die Beispiel-Adresse ist MP3 mit 192Kbit/s), aber Browser haben diese Decoder aus Sicherheitsgründen in einen separaten Prozess ausgelagert der durch Sandboxing möglichst abgeschottet ist. Medienplayer betreiben diesen Aufwand nicht. Aber da ein Browser noch so viel anderes macht/machen kann und HTML+JS besonders anfällig sind würde ich mich dennoch für den simpleren Medienplayer entscheiden.
Weil du meiner Meinubg nach die Frage falsch beantwortet hast. Die Frage war ob man beim Abspielen eines Audio streams (online radio) sich schadsoftware einfangen kann. Du behauptest nein, und das ist faktisch falsch. Dafür wurden ja auch genug Schwachstellen hier gepostet.
Dann versuchst du aber deine falsche Aussage zu korrigieren in dem du die Frage umformulierst und auf irgendwelche streams hinaus möchtest. Nur mal zur Info, ich habe auch schon exploits gegen IDS / IPS Devices oder gegen BPF gesehen, die entsprechend malformed Daten in einen Stream einfügen. Und wenn du wirklich so ein Experte bist hast du ja sicher einen Kurs beim SANS gemacht. Da ist für exploit writer eine der ersten Übungen den VLC zu exploiten.
Also ja, wenn man Daten streamt und diese verarbeitet, kann eine Schwachstelle in der zu verarbeitenden Software ausgenutzt werden. Egal wie oft du das Gegenteil behauptest. Ein wirklicher Experte hätte auch ein paar genauere Beispiele gebracht und seine Argumentation zu untermauern.
Natürlich kann Dank dem Browser irgendwelche verseuchte Werbung dein pc schädigen, wenn du keinerlei Schutz hast oder dein Betriebssystem nicht uptodate ist oder den virenschutz deaktivierst oder zb ublock Origin nicht aktiv ist.
Die Gefahr ist aber bei einem reinen Stream ohne Werbeeinblendungen sehr gering und wenn Browser und Virenschutz aktuell sind nochmal geringer. Die allermeisten Browser blockieren Datei-Downloads, die beim Start von Streams nebenbei erfolgen sollen und machen darauf aufmerksam.
Deine Meinung, die aber nicht richtig ist. Lies richtig, dann verstehst Du es vielleicht.
Falc410 schrieb:
Die Frage war ob man beim Abspielen eines Audio streams (online radio) sich schadsoftware einfangen kann. Du behauptest nein, und das ist faktisch falsch. Dafür wurden ja auch genug Schwachstellen hier gepostet.
Dann zeigt mir das bitte mal, wie Du das machen willst, bei einem reinen Radiostreaming! Wenn Du hier richtig mitgelesen hättest, hättest Du gelesen, daß meine Anwort ja lautet. wenn das fette Wort nicht da wäre!
Falc410 schrieb:
Dann versuchst du aber deine falsche Aussage zu korrigieren in dem du die Frage umformulierst und auf irgendwelche streams hinaus möchtest.
Was ist den bitte ein Audiostreaming Deiner Meinung nach?
Falc410 schrieb:
Nur mal zur Info, ich habe auch schon exploits gegen IDS / IPS Devices oder gegen BPF gesehen, die entsprechend malformed Daten in einen Stream einfügen.
Und wo greift es genau an? Ich wette, an den Metadaten und Buffer Overflow, richtig? Und Metadaten sind - genau genommen - kein Bestandteil eines Steams. Nicht umsonst heißt es "Metadaten", richtig?
Gähn, Beispiel CVE-2019-5439, Buffer Overflow.
Falc410 schrieb:
Also ja, wenn man Daten streamt und diese verarbeitet, kann eine Schwachstelle in der zu verarbeitenden Software ausgenutzt werden.
Wo bestreite ich das? Es geht aber nicht um Software, sondern um einen reinen Audiostream. Zeig mir bitte, wie Du hier, mit hinterlegtem Exploit, machen willst, wenn es keinen Buffer Overflow oder keine Metadaten abgegriffen werden.
Falc410 schrieb:
Egal wie oft du das Gegenteil behauptest. Ein wirklicher Experte hätte auch ein paar genauere Beispiele gebracht und seine Argumentation zu untermauern.
Nein, überhaupt nicht. Metadaten sind ja nicht Teil des streams. Ob es jetzt auf einen buffer overflow hinaus läuft hängt von der Schwachstelle ab. Aber gerade ffmpeg hatte einige. Und ja, es reicht aus ein entsprechendes Video oder file abzuspielen. Eine nicht vollständige Liste nur ffmpeg https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ffmpeg
Bei chrome gab es neulich in der Audio Komponente eine use-after-free Lücke wenn ich mich richtig erinnere.
nutrix schrieb:
Was ist den bitte ein Audiostreaming Deiner Meinung nach?
Ist für mich nichts anderes wie wenn ich mp3 Datei im browser abspiele. Seit html5 braucht es dazu zum Glück auch keine Plugins mehr (die nämlich in der Regel einige Schwachstellen an Board hatten, erinnert sich noch wer an Adobe Flash Player?). Also alles was ich über ein html Audio Element wiedergeben kann. Verstehst du etwa etwas anderes darunter? Der thread Ersteller hat auch nicht nach JS Angriffen gefragt sondern wollte direkt den Stream öffnen.
nutrix schrieb:
Wenn Du hier richtig mitgelesen hättest, hättest Du gelesen, daß meine Anwort ja lautet.
Und bzgl deiner Produktfrage ich habe viel mit Suricata und pfSense gearbeitet und bin damals auf Schwachstellen gestoßen wenn ein IPv6 Header malformed war. Die Systeme verarbeiten in der Regel auch nur streams weil bei hohen Geschwindigkeiten kein Deep Paket inspection möglich ist bzw. auch nicht hilfreich ist wenn der Inhalt TLS verschlüsselt ist. Aber dann sind wir halt bei TCP streams.
Ergänzung ()
nutrix schrieb:
Sonst kann in einem Datenstrom stecken was will, wenn der nicht interpretiert werden kann, weil Mist oder ausführbarer Code da drin ist, passiert erst mal nichts weiter. Ist ja genauswie wie bei einem Download mit Schadzeug. Solange die Daten nur abgelegt und gespeichert wird, passiert erst mal nichts. Erst die Ausführung bzw. Auspacken usw. wird ein Problem, wenn man beim Auspacken gleich ausführen mit reinpackt
Beim zweiten Teil hast du recht aber der erste Teil ist falsch. Es muss kein ausführbarer Code im Stream sein. Moderne Betriebssysteme erlauben die eh nicht mehr so leicht ausführbaren Code in den Stack zu legen. Aber Fakt ist halt dass dein Stream beim „streamen“ = anhören, eben verarbeitet und nicht nur gespeichert wird. Ich empfehle Lektüre zum Thema Return orientier Programming und Shellcode.
Wobei man schon realistisch sagen muss, dass Programme wie der VLC eben über playlisten exploits angegriffen werden da die Audio und Video Codecs externe libraries sind, in der Regel in C geschrieben und schwerer auszunutzen.
Nichtsdestotrotz, Antwort auf die ursprüngliche Frage ist „ja“ auch wenn das Risiko sehr gering ist, sollte er dennoch versuchen den Browser aktuell zu halten oder eben gleich auf ein anderes Programm wie VLC wechseln.
Ok dann reden wir vielleicht echt aneinander vorbei. Also diese Schwachstelle „When parsing an invalid AVI file, a buffer overflow might occur“ würde deiner Meinung nach nicht zählen? weil wenn ich im browser ein .avi file anschaue welche auf einem Webserver liegt wird es genau so geparsed. Wo ist da unterschied für dich?
