Frissítés cunami várható az FFmpeg hibája miatt

​Az FFmpeg súlyos sérülékenysége miatt számos alkalmazás és eszköz frissítésére lesz szükség a következő időszakban.
 

A PixelSmash néven elhíresült sebezhetőséget a JFrog biztonsági kutatói fedezték fel. A sérülékenységet és annak potenciális kockázatait alaposan feltérképezték, miközben értesítették a fejlesztőket a hibáról. Ennek köszönhetően még azelőtt elkészülhetett a biztonsági frissítés, mielőtt a biztonsági rés részletei nyilvánosságra kerültek volna.
 
A PixelSmash egy olyan sebezhetőség, amely alapvetően szolgáltatásmegtagadási támadásokhoz járulhat hozzá, azaz az érintett alkalmazások, eszközök összeomlását idézheti elő. Sajnos azonban a kockázatok listája itt nem ér véget, ugyanis a hibáról kiderült, hogy bizonyos körülmények között jogosulatlan távoli kódfuttatásra is módot adhat. Ehhez pedig minimális felhasználói közreműködés is elégséges, hiszen egyetlen videóállomány megnyitásával is kezdetét veheti a károkozás.
 
Ahogy arról a Biztonságportál Prémiumon már beszámoltunk, a sérülékenységet az FFmpeghez tartozó libavcodec szoftverkönyvtár tartalmazza, amely a MagicYUV dekóder működését biztosítja. A hiba kihasználására speciálisan összeállított AVI, MKV vagy MOV formátumú állományokra van szükség, de ezek mérete nem kell, hogy nagy legyen, a payload mindössze 50 KB-os
 
A sebezhetőség azért váltott ki nagyobb visszhangot, mert az FFmpeg rendkívül széles körben használatos. Ilyen módon a biztonsági rés sújthat számítógépeket, mobil eszközöket, okostévéket, NAS-okat, de még olyan jól ismert megoldások esetében is jelen van, mint amilyen például a Kodi, a Jellyfin, az Emby, a Nextcloud, a PhotoPrism vagy az OBS Studio.
 
A PixelSmash sebezhetőséget az FFmeg fejlesztői a 8.1.2-es verzió kiadásával orvosolták, most pedig mielőbbi frissítésre buzdítanak.