谷歌工程师戴尔柯蒂斯在 Chromium 官方论坛发布了一则新公告,由于戴尔柯蒂斯在公告中透露早期的存安持蓝开源视频编解码器 Theora 出现新的安全风险,为此 Chromium 浏览器将弃用该编解码器。全风弃用
The险谷ora 属于很老的视频编解码器了,主要亮点是歌浏开源、免税、览器有损视频压缩,决定因此在一些开放软件里比较受欢迎。视频
不过随着技术的编解进步,诸如 H.264/265 以及 AV1 编解码器的码器逐渐流行,The支点网ora 编解码器被采用的越来越少,而且就性能来说它也不如后面这些新的由于视频编解码器。
H.264 和 H.265/HEVC 并不是存安持蓝开源免税的,但 AV1 系列编解码器是全风弃用开源免税的,AV1 系列现在正在快速得到硬件制造商和视频网站的险谷支持,因此可以替代 Theora 视频编解码器。
为此:
谷歌将从 Chrome 120 版 (仅金丝雀通道、不涉及稳定版、此版本昨天已经发布) 开始进行弃用 Theora 测试,首先会有一半的用户被默认关闭 Theora 支持;
到 11 月 1~6 日在 Chrome Beta 版中运行 50% 弃用测试;
到 12 月 6 日在 Chrome 稳定版中运行 1% 的弃用测试;
到 2024 年 1 月 8 日在 Chrome 稳定版中运行 50% 的弃用测试;
到 2024 年 1 月 16 日在 Chrome 稳定版中运行 100% 的弃用测试;
到 2024 年 2 月从 Chrome 123 测试版开始删除 Chrome://flags 和 Theora 代码
到 2024 年 3 月 Chrome 123 稳定版发布彻底弃用 Theora 视频编解码器。
(上面的时间表是如果一切顺利的话)
另外对于仍然使用 Theora 的网站,谷歌将安排工程师进行手动检查,但不知道会不会主动联系网站管理员询问为何还使用 Theora 编解码器。
由于 Android 和 iOS 版 Chrome 从来就没支持过 Theora 编解码器,所以完全不受影响。同时 ogg 容器支持也不会被弃用,Theora 通常就是和 ogg 容器一起使用的,所以有时候也称为 Ogg Theora。
最后谷歌工程师可能也希望业界关注针对媒体编解码器的攻击,这个应该指的是早前针对 libvpx 和 libwebp 编解码器的 0day 攻击,这两次开源库出现漏洞被攻击影响面都非常大。