"na most ha van akarmilyen overflow, vagy ilyesmik (...) akkor eleg jol meg lehet tippelni, hogy az kihasznlhato, legfeljebb tul ovatosak voltunk"
Kodfuttatasra? Kozel sem.
"Es nem hiszem, hogy az mplayer csapat a commithoz feltetelul szabna a PoC megletet minden haromsoros hibajavitashoz"
Az mplayer csapat eppen lehet hogy pont nem, de ezzel inkabb ok vannak kisebbsegben.
"mondom, merevre fagyott a gep 3-bol haromszor"
Jode ez onmagaban semmit sem mond. Ahhoz, hogy ebbol valami legyen, ahhoz eloszor is ki kellene deriteni, hogy ez tenyleg mplayer bug (es nem pl. videokartya-driver, vagy Xorg, ami pedig gyanus, hogy de), aztan megnezni egy debuggerrel (es megkeresni forrasban, ha van), hogy egeszpontosan mi ez, pontosan mi kell az eloidezesehez (nem a "nezd a matrix3 legujabb bluray-es warez rls-et, es a 28. percnel ha kicsit visszatekered..."-szintu, hanem amit le lehet kovetni a forrasban), mit lehet vele hogyan es mire atirni, aztan pedig osszerakni valamilyen inputot, ami ezt triggereli is (es ez a PoC).
Egyebkent azt erdemes meg meggondolni, hogy ez az advisory-PoC-stb moka egy bevett iparagi gyakorlat, ami ugyanigy mukodik closed-source cuccoknal, vagy szolgaltatasoknal (pl. gmail) is, ott pedig nem igazan mukodik a patchkuldes.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!