谷歌工程师戴尔柯蒂斯在 Chromium 官方论坛发布了一则新公告,戴尔柯蒂斯在公告中透露早期的开源视频编解码器 Theora 出现新的安全风险,为此 Chromium 浏览器将弃用该编解码器。
Theora 属于很老的视频编解码器了,主要亮点是开源、免税、有损视频压缩,因此在一些开放软件里比较受欢迎。
不过随着技术的进步,诸如 H.264/265 以及 AV1 编解码器的逐渐流行,Theora 编解码器被采用的越来越少,而且就性能来说它也不如后面这些新的视频编解码器。
H.264 和 H.265/HEVC 并不是开源免税的,但 AV1 系列编解码器是开源免税的,AV1 系列现在正在快速得到硬件制造商和视频网站的支持,因此可以替代 Theora 视频编解码器。
为此:
谷歌将从 Chrome 120 版 (仅金丝雀通道、不涉及稳定版、此版本昨天已经发布) 开始进行弃用 Theora 测试,首先会有一半的用户被默认关闭 Theora 支持;
到 11 月 1~6 日在 Chrome Beta 版中运行 50% 弃用测试;
到 12 月 6 日在 Chrome 稳定版中运行 1% 的弃用测试;
到 2024 年 1 月 8 日在 Chrome 稳定版中运行 50% 的弃用测试;
到 2024 年 1 月 16 日在 Chrome 稳定版中运行 100% 的弃用测试;
到 2024 年 2 月从 Chrome 123 测试版开始删除 Chrome://flags 和 Theora 代码
到 2024 年 3 月 Chrome 123 稳定版发布彻底弃用 Theora 视频编解码器。
(上面的时间表是如果一切顺利的话)
另外对于仍然使用 Theora 的网站,谷歌将安排工程师进行手动检查,但不知道会不会主动联系网站管理员询问为何还使用 Theora 编解码器。
由于 Android 和 iOS 版 Chrome 从来就没支持过 Theora 编解码器,所以完全不受影响。同时 ogg 容器支持也不会被弃用,Theora 通常就是和 ogg 容器一起使用的,所以有时候也称为 Ogg Theora。
最后谷歌工程师可能也希望业界关注针对媒体编解码器的攻击,这个应该指的是早前针对 libvpx 和 libwebp 编解码器的 0day 攻击,这两次开源库出现漏洞被攻击影响面都非常大。
版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。